governança | sarbanes oxley (sox)

www.CompanyWeb.com.br


A CompanyWeb® tem 14 anos de experiência em serviços de consultoria e treinamento

em Governança e Gestão de TI (Governança de Tecnologia da Informação, Gestão por

Processos, e Engenharia de Software). Nossos principais clientes são: Petrobras, Banco

do Brasil, Ambev, Correios, JBS Friboi, Aços Villares, Serasa, Honda, Gerdau, Medley,

Yamaha, Bertin, Banco Bradesco, Tribunal Regional Eleitoral de São Paulo, Bradesco

Seguros, Coca-cola, Sabesp, Nova Schin, Novartis, Comgás, Cervejaria Petrópolis e

outros.

2

Uires Tapajós

� Palestrante e Consultor especialista em GRC - Governança, Risco e Conformidade da CompanyWeb®;

� Professor de MBAs em instituições Federais e Privadas;

� Especialista em Estratégias pela FGV em São Paulo;

� Possui a CGEIT® (Certified in the Governance of Enterprise Information Technology) emitida pelo ISACA® e outras certificações.

3

Governança e Gestão da Tecnologia da Informação

Gestão de Serviços de TI (ITIL/ISO 20000)

Melhoria de Processos

Implantação de Escritório de Projetos com as melhores práticas do PMI®

Gestão de Risco

Segurança da Informação | ISO 27001

Projetos para adoção das melhores práticas: COBIT, ITIL, SCRUM, eSCM, PMBOK, BSC, COSO, CBOK, BABOK, FDD, TDD, SOX, DRP (PCN)

Governança & Gestão da TI:

GRC (Governança, Risco e Compliance):. Gestão de Risco com COSO. Gestão de Risco de TI. Segurança da Informação com ISO 27001

Governança e Gestão de Serviços de TI:. Certificação ITIL / Certificação Cobit.. ITIL/Cobit Implementation.. Formação de Analista em Governança de TI.

BPM (Processos) . Gestão por Processos de Negócios. Formação Analista de Processo de Negócio

Negócios & Gestão de Pessoas:. Estratégia e BSC. Formação Analista de Negócio. Liderança com foco em Resultados. Práticas de Gestão de Projetos

Métodos Ágeis e Engenharia de Software:. Métodos Ágeis (SCRUM e FDD). Qualidade e Maturidade em Desenvolvimento de Software. Formação em Engenharia de Software

Consultoria Treinamento Solução

Consultoria Treinamento

Portfólio

4

www.CompanyWeb.com.br 5

Vídeo: http://bit.ly/RUrDI0


http://www.teamproject.com.br/tp2/documents/743

7

S&P 500

Expressiva valorização das ações na década de 90

Desvalorização das empresas de tecnologiaRevelação do

caso Enron

Out/2001

Revelação do caso Worldcom

Jul/2002

11 de setembro

Aprovação SOX

Primeiros comentários sobre “exuberância irracional do mercado”

Preocupações com disclosure seletivo

Regulation

FD

Forte apelo por regulamentação


9

Objetivo SOX: Garantir a integridade das informações financeiras

� Em 30 julho de 2002, presidente George W. Bush assinou de “O Ato Sarbanes-Oxley”, que muda de forma radical as leis aplicadas a empresas que tem ações negociadas na bolsa americana. Em 2001 e 2002 empresas gigantes como Enron e o Worldcom foram forçadas a declarar a falência. E fraudes contábeis e outras irregularidades foram reveladas em outras empresas, tais como Adelphia e Global Crossing. Após estes escândalos, o governo americano,implementouuma legislação que ampliou os poderes da SEC (Securities and Exchange Commission, órgão regulador do mercado financeiro americano), aumentou consideravelmente a responsabilidade da administração das empresas.

� A regulamentação das novas normas e a supervisão do seu cumprimento, pelos vários elementos do mercado de capitais, passam a ser de responsabilidade do PCAOB(Conselho de Supervisão de Assuntos Contábeis das Companhias Abertas -Public Company Accounting OversightBoard)

2001 – WorldCom – 20.000demitidos

O ocorreu fraude porque aempresa registrou comoinvestimentos (ativo em seubalanço patrimonial) o que eradespesa (demonstrativo deresultados), distorcendototalmente os dados de suascontas.

2001 – Enron – 7a. Maior empresa dos EUA.A Enron, gigante americana do setor de energia, pediu concordata em dezembro de 2001, após ter sido alvo de uma série denúncias de fraudes contábeis e fiscais. Com uma dívida de US$ 13 bilhões, o grupo arrastou consigo a Arthur Andersen,que fazia a sua auditoria.


10

A que se propõe a lei?

Proteger os investidores por meio do aperfeiçoamento da precisão e da confiabilidade nas divulgações societárias, envolvendo, dentre outras, certificações pelo CEO e CFO:

– das demonstrações financeiras;– dos controles e procedimentos de divulgação;– dos controles internos sobre as demonstrações financeiras.


11

– É considerada a mais importante reforma na lei de mercados de capitais nos últimos anos;

– Objetiva recuperar a confiança perdida;

– Exige um novo patamar de Governança Corporativa;

– Exige a implementação de procedimentos de prevenção e detecção de fraudes;

– Altera a forma e a intensidade com que as companhias devem documentar, monitorar e avaliar seus controles internos;

– Altera a forma como as empresas serão auditadas;– Estabelece punições mais rígidas (criminais) para CEO e CFO.


Conceito de Governança CorporativaÉ o sistema pelo qual as empresas são dirigidas e monitoradas, envolvendo o relacionamento entre os proprietários, Conselho de Administração, Diretoria, Auditoria Independente e Conselho Fiscal.

Fonte: IBGC – Código das Melhores Práticas de Governança Corporativa


13

Penalidades:Em caso de violação da SOX, os diretores, auditores e consultores dessas empresas

estarão sujeitos a pena dessa Lei, que vão de 10 a 20 anos de prisão e multa de até US$ 5 milhões.

DAVID J. PHILLIP/ASSOCIATED PRESS Former Enron CEO Jeff Skilling, centre right, arrives at the federal courthouse with his attorney, Daniel Petrocelli, centre left, for his sentencing hearing Oct. 23 in Houston.

Enron CEO gets 24 yearsU.S. courts reserve the big fire for those at the topOct. 24, 2006. 07:33 AMJENNIFER WELLSBUSINESS COLUMNIST

Last man standing?

Not any longer. Five months after being found guilty on 19 counts of securities fraud, conspiracy, making false statements to auditors and insider trading, Jeff Skilling has been knocked flat at last. The former Enron chief executive was sentenced yesterday in a Houston courtroom to 24 years and four months in prison and was denied his request to remain free pending appeal.

http://www.thestar.com/NASApp/cs/ContentServer?pagename=thestar/Layout/Article_Type1&col=969048863851&c=Article&cid=1161640212235&call_pageid=968350072197

A lei se aplica às Companhias registradas na SEC, aumentando, dessa forma, a sua abrangência a Empresas que não são de origem norte-americana.Efeito no Brasil: – Empresas brasileiras listadas na SEC: são aproximadamente 36 empresas, tais como: Cia Vale do Rio Doce, Brasken, Pão de Açúcar, Bradesco, Banco Itaú Unibanco.

– Subsidiárias de empresas americanas e não americanas cujas matrizes estão listadas na SEC, tais como: Citigroup, AIG Seguros, Monsanto, Grupo Bunge, Krafft Foods, Unilever, AGCO, Philip Morris, Dupont, 3M, Xerox, IBM, Goodyear, Siemens, SAP.

14www.CompanyWeb.com.br

15

Empresas BrasileirasQuem está sujeito ao SOX?

Esta lei abrange tanto as empresas norte-americanas com ações em bolsas de valores nos Estados Unidos, quanto as empresas estrangeiras com recibos de ações (ADR - American Depositary

Receipt) negociados em bolsas norte-americanas.

Empresas listadas na NYSE

Ambev - Companhia de Bebidas das Américas

Aracruz Celulose S.A.

Banco Bradesco, S.A.

Banco Itaú Holding Financeira S.A

Brasil Telecom Participações S.A.

Brasil Telecom S.A.

Braskem S.A.

Companhia Brasileira de Distribuição

Companhia Energética de Minas Gerais-CEMIG

Companhia Paranaense de Energia (COPEL)

Companhia Siderúrgica Nacional

Companhia Vale do Rio Doce (CVRD)

CPFL Energia S.A.

Embraer -Empresa Brasileira de Aeronáutica

Embratel Participações S.A.

Gerdau S.A.

Empresas listadas na NYSE

Petróleo Brasileiro S.A. - Petrobras

SABESP

Sadia S.A.

TAM S.A.

Tele Norte Celular Participações S.A.

Tele Norte Leste Participações S.A.

Telebrás HOLDRs

Telecomunicações de São Paulo S/A-Telesp

Telemig Celular Participações S.A.

Tim Participações S.A.

Ultrapar Participações S.A.

União de Bancos Brasileiros S.A (Unibanco)

Vivo Participações S.A.

Votorantim Celulose e Papel S.A.

Gol Linhas Aéreas Inteligentes S.A.

Perdigão S.A.

www.CompanyWeb.com.brADR: http://www.teamproject.com.br/tp2/documents/745


A Lei Sarbanes-Oxley de 2002 reescreveu, literalmente, as regras para a Governança Corporativa, relativas à divulgação e à emissão de relatórios financeiros. Contudo, sob a infinidade de páginas da Lei, repletas de “legalismos”, reside uma premissa simples: a boa governança corporativa e as práticas éticas do negócio não são mais requintes –são leis.

16

A Lei Sarbanes-Oxley de 2002 (SOX) mudou significativamente a visão sobre Governança Corporativa. Muitas organizações estão, neste momento, planejando e implementando processos que as auxiliarão na avaliação sobre a eficácia dos seus controles internos relacionados à elaboração de suas demonstrações financeiras (ICOFR - InternalControl Over Financial Reporting). O ponto crítico desse processo tem sido tentar antecipar e discutir as questões e preocupações que poderiam emergir à medida que a administração se prepara para a auditoria independente desse processo (auditoria do ICOFR).


A Administração é responsável pela emissão de um relatório sobre controles internos, no relatório anual da Empresa, que:

• Afirme ser responsabilidade da Administração o estabelecimento e a manutenção de uma estrutura e procedimentos de controles internos adequados para a elaboração das demonstrações financeiras; e• Contenha uma avaliação, ao final do mais recente exercício social, sobre a eficácia da estrutura e dos procedimentos de controles internos para a elaboração das demonstrações financeiras da Empresa.


– Responsabilidade da administração para estabelecer e manter adequados Controles Internos sobre o reporte financeiro.

– Aceitação da responsabilidade da efetividade dos Controles Internos da companhia sobre o reporte financeiro.

– Avaliação da efetividade dos Controles Internos da companhia sobre o reporte financeiro utilizando um critério de controle adequado (como o COSO®).

– Suporte de sua avaliação com evidências suficientes, incluindo documentação.

– Apresentação de uma avaliação escrita sobre a efetividade dos Controles Internos da companhia sobre reporte financeiro.


O auditor independente é responsável por avaliar e atestar sobre a avaliação elaborada pela administração da empresa emissora.

Para que o auditor independente execute satisfatoriamente uma auditoria dos controles internos relacionados às demonstrações financeiras, a administração deve cumprir algumas responsabilidades¹, incluindo:

• Assumir a responsabilidade pela efetividade do ICOFR da empresa;• Avaliar a efetividade do ICOFR da empresa, apoiando-se nas melhores práticas de controles internos, tais como os critérios do COSO® - Committee of SponsoringOrganizations of the Treadway Commission);• Suportar a sua avaliação com base em evidência suficiente, inclusive documentação.


¹ Se o auditor concluir que a administração não cumpriu essas responsabilidades, ele deve comunicar, por escrito, à administração e ao comitê de auditoria que não foi possível concluir satisfatoriamente a auditoria dos controles internos relacionados às demonstrações financeiras e se abster de emitir uma opinião.


PCAOB

Uma auditoria de controles Internos sobre o reporte financeiro realizados em conjunto com a auditoria das demonstrações financeiras

Visão geral

• Responsabilidades da administração;

• Definição – Controles Internos sobre o reporte financeiro;

• Estrutura do COSO® - Committee of Sponsoring Organizations ofthe Treadway Commission (é um framework aceito para avaliação da administração).

– Reforça o conceito que uma auditoria das demonstrações financeiras e uma auditoria de controles internos sobre o reporte financeiro são agora integradas e inseparáveis.

– Reconhece que o controle interno não segue o conceito “um tamanho que serve para todos” e que as companhias implementarão controles de maneiras diferentes em formas diferentes baseado no seu tamanho e complexidade.

– Delineia:

• Responsabilidades;

• Documentação requerida da administração;

• Responsabilidades do auditor e comunicações requeridas;

• Estabelece critério para avaliações das deficiências.


• Desenho dos controles sobre todas as afirmações relacionadas com todas as contas significativa e divulgação das demonstrações financeiras – os cinco componentes, incluindo ambiente de controle e controles no nível da companhia (sobre a companhia).

• Informação sobre como transações significativas são iniciadas, autorizadas, registradas, processadas e reportadas.

• Informação suficiente sobre como o fluxo de transações para identificar onde uma divulgação inexata material pode ocorrer devido a erro ou fraude.

• Desenho de controles para prevenir ou detectar fraudes, incluindo quem realiza o controle e a segregação de responsabilidades relacionada.

• Controles sobre o processo de reporte financeiro do fim do período.

• Controles sobre a salvaguarda dos ativos.

• Os resultados dos testes da gerência e avaliação.


26

Em 30 julho de 2002, presidente George W. Bush assinou de “O Ato Sarbanes-Oxley”, que muda de forma radical as leis aplicadas a empresas que tem ações negociadas na bolsa americana.

· Responsabilidade do Presidente (CEO) e do Diretor Financeiro (CFO) na “certificação” das demonstrações

· Maior transparência na divulgação das informações financeiras.

· Responsabilidade do Presidente (CEO) e do Diretor Financeiro (CFO) na “certificação” das demonstrações financeiras;· Transferência para um comitê de auditoria, composto de membros não executivos do Conselho da Administração, de muitos poderes e responsabilidades que eram anteriormente dos diretores-executivos; · Maior transparência na divulgação das informações financeiras.

Principais Seções (artigos):

Seção 302 e 906 – Tratam de certificações dos relatórios anuais contendo as demonstrações financeiras (20-F e 40-F) por parte dos administradores (CEO e CFO), sob penalidades de responsabilidade civil e criminal.

Seção 404, 407, 408 e 409 – Tratam sobre os aspectos de controle interno, fiscalização da SEC sobre informação pública, código de ética para diretores financeiros e publicação de alterações operacionais e/ou financeiras. Determina a emissão de relatório especial, com parecer, entregue à SEC, que ateste a realização anual de avaliação e de controles e processos internos que são a base de relatórios financeiros.

Seção 802 - Penalidades criminais pela alteração de documentos.

Objetivo SOX: Garantir a integridade das informações financeiras


O ato foi assinado em 30 de julho de 2002 e inclui onze seções tituladas

Título I Conselho de Supervisão da Contabilidade das Companhias de Capital Aberto (PCAOB)

Título II Independência do Auditor Título III Responsabilidade CorporativaTítulo IV Divulgação das Demonstrações FinanceirasTítulo V Conflito de interesseTítulo VI Autoridade e recursos da comissãoTítulo VII Estudos e relatóriosTítulo VIII Responsabilidade Corporativa e de fraudes criminaisTítulo IX Elevação das penalidades para crime de colarinho brancoTítulo X Imposto sobre lucro CorporativoTítulo XI Responsabilidade e fraudes corporativas


O ato foi assinado em 30 de julho de 2002 e inclui onze seções tituladas

Título I Conselho de Supervisão da Contabilidade das Companhias de Capital de Aberto (PCAOB)

Título II Independência do Auditor Título III Responsabilidade Corporativa – Art 302Título IV Divulgação das Demonstrações Financeiras – Art 404

Título V Conflito de interesseTítulo VI Autoridade e recursos da comissãoTítulo VII Estudos e relatóriosTítulo VIII Responsabilidade Corporativa e de fraudes criminaisTítulo IX Elevação das penalidades para crime de colarinho branco – Art

906Título X Imposto sobre lucro CorporativoTítulo XI Responsabilidade e fraudes corporativas


Grande parte da discussão em torno da Lei Sarbanes-Oxley concentra-se nas Seções 302 e 404.

A Seção 302 determina que Diretores Executivos e Diretores Financeiros devem declarar pessoalmente que são responsáveis pelos controles e procedimentos de divulgação. Cada arquivo trimestral deve conter a certificação de que eles executaram a avaliação do desenho e da eficácia desses controles. Os executivos certificados também devem declarar que divulgaram todas e quaisquer deficiências significativas de controles, insuficiências materiais e atos de fraude ao seu Comitê de Auditoria. A SEC também propôs uma exigência de certificação mais abrangente que inclui os controles internos e os procedimentos para a emissão de relatórios financeiros, além da exigência relacionada com os controles e procedimentos de divulgação.


Em cada arquivo trimestral ou anual, o Diretor Executivo e o Diretor Financeiro devem declarar que:

1) são responsáveis pelos controles e procedimentos de divulgação;2) desenharam esses controles (ou supervisionaram seu desenho) para assegurar que as informações materiais cheguem ao seu conhecimento;

3) avaliaram a eficácia desses controles a cada trimestre;4) apresentaram suas conclusões em relação à eficácia desses controles;5) divulgaram ao seu Comitê de Auditoria e aos seus auditores independentes todas as deficiências significativas encontradas nos controles, as insuficiências materiais e os atos de fraude envolvendo funcionários da administração ou outros funcionários que desempenham papéis significativos nos controles internos da companhia;

6) indicaram no arquivamento na SEC todas as alterações significativas efetuadas nos controles.


32

CERTIFICAÇÃO EM CONFORMIDADE COM ÀS REGRAS 13a-15 E 15d-15 CONFORME ADOTADO NA SEÇÃO 302 DA LEI SARBANES-OXLEY

Eu, José Sergio Gabrielli de Azevedo, certifico que:

1.Examinei o presente relatório anual que integra o documento Form 20-F, da Petróleo Brasileiro S.A - PETROBRAS. 2. Com base em meu conhecimento, este relatório anual não contém nenhuma declaração inverídica a respeito de fato importante nem tampouco omite qualquer menção a fato relevante necessário às afirmações feitas no documento, considerando-se as circunstâncias em que tais declarações foram efetuadas, sendo fiel em relação ao período coberto por este relatório anual;3. Com base em meu conhecimento, as demonstrações financeiras e outras informações financeiras contidas neste relatório anual refletem devidamente, no tocante aos aspectos relevantes, a condição financeira, os resultados das operações e os fluxos de caixa do requerente, a partir da data especificada e durante todo o período que o presente relatório abrange;4. O preposto da empresa no processo de certificação e eu somos responsáveis pela criação e manutenção de controles e procedimentos de divulgação de informação (nos termos estabelecidos nas Regras 13a-14 e 15d-14 do Exchange Act) do requerente e: (a) Elaboramos tais controles e procedimentos de divulgação de informação de modo a assegurar que informações importantes relativas ao requerente, incluindo suas subsidiárias consolidadas, nos sejam transmitidas por outros integrantes dessas entidades, especialmente durante o período no qual este relatório anual é preparado;(b) Avaliamos a eficácia dos controles e procedimentos de divulgação de informação do requerente em data compreendida no período de 90 dias que antecedeu a data de arquivamento deste relatório anual (a "Data de Avaliação"); e(c) Apresentamos neste relatório anual nossas conclusões sobre a eficácia dos controles e procedimentos de divulgação de informação, com base em nossa avaliação a partir da Data de Avaliação; 5. O preposto da empresa no processo de certificação e eu, com base em nossa avaliação mais recente, procedemos à divulgação, junto aos auditores e ao Conselho Fiscal do Conselho de Administração do requerente (ou junto aos indivíduos que desempenham as funções equivalentes) dos seguintes aspectos: (a) Todas as deficiências importantes no projeto ou na operação dos controles internos que poderiam prejudicar a capacidade do requerente de registrar, processar, sintetizar e notificar dados financeiros, além de identificarmos e assinalarmos para os auditores do requerente todas as deficiências importantes nos controles internos; e (b) Qualquer fraude, importante ou não, que envolva a gerência ou outros empregados que desempenhem papel significativo nos controles internos do requerente; e6. O preposto da empresa no processo de certificação e eu indicamos neste relatório anual se houve alteração significativa nos controles internos ou em outros fatores que pudessem afetar substancialmente os controles internos em períodos posteriores à data da nossa avaliação mais recente, incluindo quaisquer ações corretivas relacionadas às deficiências significativas e deficiências relevantes.

/s/ JOSÉ SERGIO GABRIELLI DE AZEVEDO

José Sergio Gabrielli de AzevedoDiretor Financeiro

Exemplo: Seção 302

33

CERTIFICAÇÃO EM CONFORMIDADE COM O U.S.C. 18 PARÁGRAFO 1350 CONFORME ADOTADO EM CONFORMIDADE COM O PARÁGRAFO 906 DA LEI SARBANNES-OXLEY

Em conformidade com o parágrafo 906 da Lei Sarbanes-Oxley de 2002 (subparágrafos (a) e (b) do Parágrafo 1350, Capítulo 63 do Documento 18, do Código dos Estados Unidos), o abaixo-assinado presidente da Petróleo Brasileiro S.A. - PETROBRAS (a "Empresa"), por este ato certifica que, ao seu conhecimento :

O Relatório Anual do Formulário 20-F do exercício findo em 31 de dezembro de 2002 da Empresa está em conformidade com os requisitos indicados no Parágrafo 13(a) ou 15(d) do Securities Exchange Act de 1934 e as informações contidas no Formulário 20-F apresentam de maneira correta, em todos os aspectos essenciais, a condição financeira e os resultados operacionais da Empresa.

/s/ JOSÉ EDUARDO DE BARROS DUTRAData: 19 de junho de 2003José Eduardo de Barros Dutra Diretor Presidente

O original assinado desta declaração por escrito, tal como requerido no Parágrafo 906, foi entregue à Empresa, sendo por ela retido e fornecido à Securities and Exchange Commission ou a seu represente, a seu pedido.

CERTIFICAÇÃO EM CONFORMIDADE COM O U.S.C. 18 PARÁGRAFO 1350 CONFORME ADOTADO NO PARÁGRAFO 906 DA LEI SARBANES-OXLEY

Em conformidade com o parágrafo 906 da Lei Sarbanes-Oxley de 2002 (subparágrafos (a) e (b) do Parágrafo 1350, Capítulo 63 do Documento 18, do Código dos Estados Unidos), o abaixo-assinado diretor da Petróleo Brasileiro S.A. - PETROBRAS (a "Empresa"), por este ato certifica que, ao seu conhecimento :

O Relatório Anual do Formulário 20-F do exercício findo em 31 de dezembro de 2002 da Empresa esta em conformidade com os requisitos indicados no Parágrafo 13(a) ou 15(d) do Securities Exchange Act de 1934 e as informações contidas no Formulário 20-F apresenta de maneira correta, em todos os aspectos essenciais, a condição financeira e os resultados operacionais da Empresa.

/s/ JOSÉ SERGIO GABRIELLI DE AZEVEDO

Data: 19 de junho de 2003José Sergio Gabrielli de AzevedoDiretor Financeiro

O original assinado desta declaração por escrito, tal como requerido no Parágrafo 906, foi entregue à Empresa, sendo por ela retido e fornecido à Securities and Exchange Commission ou a seu represente, a seu pedido.

Exemplo: Seção 302


Outra medida da Lei Sarbanes-Oxley, amplamente divulgada – a Seção 906 –, entrou em vigor em agosto de 2002. Essa seção exige que Diretores Executivos e Diretores Financeiros assinem e certifiquem o relatório periódico contendo as demonstrações financeiras. A certificação executiva declara que o relatório cumpre as exigências de emissão de relatórios determinadas pela SEC e que representam adequadamente a condição financeira da companhia, bem como os resultados de suas operações. O descumprimento dessa exigência tem um alto preço: multas de até US$5 milhões e até 20 anos de prisão podem ser as penas impostas para o descumprimento intencional. Esta é uma medida que sustenta a “engrenagem” da Lei.


A Seção 404 determina uma avaliação anual dos controles e procedimentos internos para a emissão de relatórios financeiros. Além disso, o auditor independente da companhia deve emitir um relatório distinto que ateste a asserção da administração sobre a eficácia dos controles internos e dos procedimentos executados para a emissão dos relatórios financeiros.Como a Seção 302, ela exige que os Diretores Executivos e os Diretores Financeiros avaliem e atestem periodicamente a eficácia desses controles.


A Seção 404 obriga as companhias a incluir em seus relatórios anuais um relatório sobre controles internos emitido pela administração que:


1. afirme sua responsabilidade pelo estabelecimento e pela manutenção de controles e procedimentos internos para a emissão de relatórios financeiros;

2. avalie e atinja conclusões acerca da eficácia dos controles e procedimentos internos para a emissão de relatórios financeiros;

3. declare que o auditor independente da companhia atestou e reportou a avaliação feita pela administração sobre seus controles e procedimentos internos para a emissão de relatórios financeiros.

Segundo as regras propostas pela SEC, a administração também deverá certificar a eficácia de seus controles e procedimentos internos para a emissão de relatórios financeiros em uma base trimestral.Além disso, a Lei Sarbanes-Oxley exige que um auditor independente da companhia preencha um relatório individual que ateste a avaliação da administração sobre a eficácia dos controles e procedimentos internos para a emissão de relatórios financeiros.


Já que o Diretor Executivo e o Diretor Financeiro de sua companhia devem fazer declarações públicas em relação à eficácia dos controles internos, é preciso manter suporte e documentação substanciais relacionados com a estrutura de controles internos e também com a sua avaliação. Além disso, como o auditor independente vai atestar a avaliação dos controles é necessário apresentar toda a documentação ao auditor.

Vale lembrar que o “parecer sem ressalvas” na última auditoria das demonstrações financeiras não é um atestado para a eficácia dos controles internos. Quando os auditores independentes emitem opinião acerca das demonstrações financeiras, não estão validando a estrutura de controles internos. Portanto, os procedimentos de testes que executam não são desenhados para atender às exigências da certificação.


Para que o auditor independente faça essa certificação – e para preparar a própria avaliação – é preciso adotar uma estrutura de controles internos que contenha critérios objetivos, os quais possam ser medidos e avaliados. As recomendações do COSO® - Committeeof Sponsoring Organizations of the TreadwayCommission é a estrutura mais utilizada.


A avaliação fornecida aos auditores independentes deve ser substantiva, bem documentada e abrangente.

Um checklist resumido inclui:


1) informações acerca do ambiente de controles gerais da companhia;

2) descrição do processo adotado pela administração para identificar, classificar e avaliar riscos que possam impedir que a companhia alcance seus objetivos de emissão de relatórios financeiros;

3) descrição completa dos objetivos de controle criados pela administração para direcionar os riscos identificados e as respectivas atividades de controle;

4) descrição dos sistemas de informática e procedimentos de comunicação adotados para fornecer suporte ao tópico anterior;

5) resultados e documentação-suporte da avaliação mais recente feita pela administração sobre a eficácia do desenho e das operações das atividades individuais de controle (observação: talvez não seja suficiente a mera confiança nas declarações de subordinados);

6) relação de todas as deficiências encontradas no desenho e na implementação das atividades de controle, bem como os procedimentos propostos para sua correção;

7) descrição do processo adotado para comunicar deficiências significativas e insuficiências materiais aos auditores independentes e ao Comitê de Auditoria;

8) descrição dos procedimentos de monitoramento executados para assegurar que a estrutura de controles internos está operando conforme planejado e que os resultados dos procedimentos de monitoramento são revisados e executados;

9) descrição do processo de criação da divulgação e das atividades de controle relacionadas.


Um programa de controles internos que focaliza simultaneamente a divulgação e a emissão de relatórios financeiros pode atender às exigências trimestrais da Seção 302 e as exigências anuais da Seção 404, bem como suprir as necessidades dos auditores independentes para executar seus procedimentos de certificação.


– Aderência é requerida para todas as operações no mundo

– Elaboração pela administração (CEO/CFO) de relatório anual sobre a avaliação dos controles internos, incluindo:• Declaração sobre a responsabilidade da administração em estabelecer e manter controles internos (estrutura e procedimentos) adequados

• Apresentação dos resultados da avaliação sobre a eficácia dos controles internos

– Os auditores externos da Companhia devem auditar:• o processo conduzido pela administração; e

• os controles internos (sua própria avaliação)


45

• A avaliação da administração deve estar baseada em procedimentos suficientes para avaliar o desenho e a eficácia operacional (testes) dos controles internos.

Apenas mapear (não testar)

não é suficiente.


46

Itaú conclui a certificação dos controles internos

R$ 15 milhões em despesas diretas, 206 mil horas de trabalho interno e 40 mil dos auditores externosgarantiram ao Banco Itaú Holding Financeira o recorde de primeiro banco estrangeiro com ações negociadas na Bolsa de Nova York (NYSE) a cumprir as exigências da seção 404 da Lei Sarbanes-Oxley(SOX).Uma das seções - equivalentes a artigos na legislação brasileira - mais complexas da SOX é exatamente a 404, que determina a avaliação anual dos controles e procedimentos internos para a emissão de relatórios financeiros. A administração da empresa precisa documentar, avaliar e certificar a eficiência dos controles internos e dos processos de obtenção dos números registrados nos relatórios financeiros. Além disso, um auditor externo tem que certificar a avaliação. Desde o final de 2004, o Itaú está envolvido na tarefa, afirmou o vice-presidente sênior, Henri Penchas. A exigência inicial da Securities and Exchange Commission SEC) - equivalente à comissão de valores mobiliário brasileira - era que as empresas estrangeiras com ações negociadas na Bolsa de Nova York atendessem as exigências da SOX no balanço de 31 de dezembro de 2005. Posteriormente, a SEC deu mais um ano de prazo. Mas, o Itaú conseguiu atender a exigência no prazo original e acaba de arquivar na SEC o relatório anual 20-F, referente ao exercício concluído em 31 de dezembro de 2005, com o relatório do auditor externo PricewaterhouseCoopers certificando a avaliação da direção do banco a respeito da qualidade dos processos e veracidade das informações contidas no balanço.O objetivo é assegurar aos investidores e ao mercado que os processos de obtenção dos números estão corretos. "É um trabalho extremamente burocrático, técnico e minucioso, que implicou o mapeamento de cerca de 1050 processos do banco", disse Penchas, desde conta corrente, cartão de crédito a empréstimos e custódia. Alguns tiveram que ser alterados até que os auditores externos estivessem satisfeitos. o Itaú designou um diretor gerente, João Costa, para tocar o projeto. Penchas acredita que o trabalho será mais fácil no próximo balanço pois só será necessário desenvolver novos testes para os novos produtos. Nos demais, só será preciso repetir os testes já elaborados. Para acionistas e investidores, o resultado é a certeza da qualidade dos números; para os depositantes e clientes, a veracidade nos balanços. Costa lembrou que o trabalho do auditor externo também está sujeito à averiguação do órgão de supervisão da atividade, o Conselho de Supervisão Contábil das Companhias de Capital Aberto (PCAOB -Public Company Accounting Oversight Board).

Maria Christina Carvalho14/06/2006

Os recentes escândalos no mundo dos negócios trouxeram à tona declarações de executivos que afirmavam “não ter conhecimento” das atividades duvidosas praticadas por suas companhias –participações não registradas nos livros, reconhecimentos de receitas impróprios, etc. A Lei Sarbanes-Oxley foi criada para desencorajar essas alegações através de várias medidas que intensificam as conferências internas e aumentam a responsabilidade dos executivos.


50

1. Controles internos são fundamentais para registrar de forma exata transações e a preparação de relatórios financeiros confiáveis.

2. As empresas necessitam realizar os objetivos dos relatórios financeiros para atender às obrigações externas.

3. Sem controles adequados para assegurar o registro adequado das transações, os dados financeiros resultantes poderiam tornar-se não confiáveis e comprometer a tomada de decisões pela Administração e, sobre tudo, afetar a credibilidade com acionistas, reguladores e o público.


Controle interno é um processo adotado pelo conselho de diretores, administração e outro pessoal da

empresa e podem ser atividades exercidas por pessoas e sistemas de informação, desta forma manuais ou

automáticos.

De forma ainda mais notável, a Lei Sarbanes-Oxley privilegia o papel crítico do “Controle Interno”.

1. Eficácia e eficiência das operações;2. Confiabilidade dos relatórios financeiros;3. Cumprimento de leis e regulamentos aplicáveis.


A Lei Sarbanes-Oxley torna Diretores Executivos eDiretores Financeiros explicitamente responsáveis por

estabelecer, avaliar e monitorar a eficácia dos controlesinternos sobre relatórios financeiros e divulgações.

A definição de Controles Internos mais amplamente aceita foi desenvolvida pelo Committee of Sponsoring Organizations of the Treadway Commission – COSO:“... um processo, efetuado pelo Conselho de Administração, pela administração ou por

outras pessoas da companhia, visa fornecer segurança razoável quanto à

possibilidade de atingir objetivos nas seguintes categorias:


Definição (P.N. Migliavacca):

Controle Interno define-se como o planejamento organizacional e todos os métodos e procedimentos adotados dentro de uma

empresa, a fim de salvaguardar seus ativos, verificar a adequação e o suporte dos dados contábeis, promover a eficiência operacional e

encorajar a aderência às políticas definidas pela direção.

A SEC propôs definir controles internos e procedimentos para a emissão de relatórios financeiros como “controles relativos à preparação de demonstrações financeiras para fins externos que são apresentados de maneira apropriada e em conformidade com os princípios contábeis nacionais”.


Inegavelmente, as novas regras propostas pela Securities and Exchange Commission – SEC (instituição equivalente à Comissão de Valores Mobilários – CVM brasileira) que fazem cumprir a Lei Sarbanes-Oxley são complicadas, e a implementação deverá ser demorada e custosa. Entretanto, há alguns fatores atenuantes:


1. Normalmente, todas as companhias de capital aberto já possuem alguma estrutura de controles internos, ainda que de maneira informal e não suficientemente documentada.

2. Muitas companhias poderão adaptar os processos já existentes para cumprir as medidas de controles internos determinadas pela Lei Sarbanes-Oxley.

3. A construção de uma forte estrutura de controles internos para atender às exigências da Lei Sarbanes-Oxley pode promover benefícios que extrapolam o cumprimento das regras. Na verdade, o potencial para revisar e concretizar novas visões corporativas e atingir novos níveis de excelência corporativa é inesgotável.

55

Controle Interno

Quais as melhores práticas de controle e gestão de riscos? Existem Quais as melhores práticas de controle e gestão de riscos? Existem sistemas de controle e gestão que indiquem eventuais falhas de controle (exemplos: fraudes, irregularidades, má-conduta...)?

Nossos processos e controles para divulgação nos asseguram que todas as informações relevantes foram identificadas, quantificadas e reportadas?

Nossa estrutura de Governança Corporativa está compatível às necessidades?

– Código de Ética (Código de Conduta);– Conselho de Administração; – Comitê de Auditoria; – Comitê Fiscal; e– Parâmetros de razoabilidade para bônus e lucros.


56

Controles: � PREVENTIVO - Previnem o acontecimento de erros, fraudes, má-conduta ou irregularidades e minimizam os

riscos na fonte. (Pró-ativo). (Maior eficácia)

� DETECTIVO - Detectam erros, fraudes, má-conduta e irregularidades quando eles ocorrem, geralmente são difíceis de definir ou prever. (Reativo).

� RESPOSTA - Controles elaborados para tomar ação corretiva e remediar os danos causados por erros, fraudes, má-conduta e irregularidades. (Reativo)

Tipos de Controles:� AUTOMATIZADO - Controles executados por sistemas automatizados, não dependendo de julgamentos

pessoais. Para garantir sua consistência, precisão e tempestividade, é precisoter um sistema seguro e confiável. (Maior eficácia)

� MANUAL - Controles manuais executados por pessoas.

Periodicidade:� Deve ser atrelado a ocorrência do evento, a cada evento, diário, semanal, quinzenal, mensal, trimestral,

semestral, anual. A periodicidade do controle deve ser compatível com a freqüência da incidência dos eventos de risco cobertos pelo controle.

Prevenção, Detecção e Resposta

Uma abordagem efetiva, direcionada à fraude em negócios e gerenciamento derisco e má-conduta, é uma abordagem que é focada em três objetivos: Prevenção, Detecção e Reposta


57

Melhores Práticas na implantação de Sistema de Controle Interno:

1. Evite os controles manuais. Opte por controles automatizados;

2. Implemente os controles do tipo preventivo;

3. Definir a quantidade de controle adequado;

4. Evite o controle do controle;

5. Faça uma revisão de toda vez que o custo de um controle for maior que o benefício que ele traz;

6. Implemente o ciclo de melhoria continua, PDCA, nos controles.


58

Lista de Controle Interno:

Alçadas:Delimitação de atuação ou influência de gestor

Conciliação:Comparação de informações de origens distintas, o foco identificar inconsistências

Normatização interna:Estabelecimento formal de normas internas

Segregação de funções:Separação de funções conflitantes ou funções que possam ter conflito de interesses

Validação:Exame de procedimentos relacionados a algumas atividades com objetivo de validar as informações

Controle de Acesso:Controle na entrada e saída de pessoas, equipamentos e produtos

Autorização:Autorização formal para execução de uma operação ou uma atividade

Monitoramento:Acompanhamento de processo, operação ou atividade de modo avaliar sua correta adequação com os objetivos


59

Riscos

Ausência de Controles

Controles + Tolerânciaà Riscos

Exposição aRiscos Inaceitáveis

Riscos

Controles +Tolerânciaà Riscos

Controles em Excesso

Exposição aCustos Excessivos

Riscos

Controles +Tolerânciaà Riscos

Controles Adequados

Controles InternosEficientes

O peso dos controles:


60

Características de um Controle eficiente:

Controle eficiente:O controle devem responder as seguintes questões: - Quem, quando, como e por que

Evidencia (documentos probatórios)

Quem fezo lançamento ?

Em que datafoi feito o lançamento ?

Existemdocumentos(evidências) ?

O por quedo lançamento ?

Como foi feitolançamento ?


61

Benefícios de uma Estrutura de Controles Internos Consistente:

Controle Interno Consistente:

� Reduz potencial para fraudes

� Conquista (ou reconquista) a confiança dos investidores

� Observa leis e regulamentações

� Reduz o risco de perda de recursos

� Otimiza decisões de negócio com maior qualidade

� Identifica operações ineficientes

� Minimiza denúncias

Controle Interno Inconsistente:� Aumenta a exposição a fraudes� Informações financeiras imprecisas� Publicidade desfavorável� Impacto negativo nos valores das

ações� Sanções de órgãos de controle� Processos ou outras ações legais� Perda de ativos� Decisões de negócio sub-otimizadas

�São descobertas através de Controles Internos (42%) ou, em menor escala,

através de denúncias (28%) identificadas (de funcionários) ou de auditoria

interna (21%)

�São descobertas através de Controles Internos (42%) ou, em menor escala,

através de denúncias (28%) identificadas (de funcionários) ou de auditoria

interna (21%)

Perfil das fraudes � Em geral, as fraudes descobertas1:

Nota 1- Fonte: Relatório Enfoque 2005, elaborado pela Ernest & Young

62

O Papel da Auditoria Interna:

O papel da auditoria interna é um elemento chave em atividades de controle, suportando a abordagem da administração para prevenir, detectar e responder à fraude, erros, irregularidades e má-conduta.

Uma das funções da Auditoria Interna é o de examinar a efetividade dos controles (realização de testes substantivos), Gestão de Risco, Sistemas, Salvaguarda de Ativos, Contabilidade e Governança.

No geral, a auditoria interna deve ser responsável por:- Planejar e conduzir a avaliação do desenho e efetividade dos controles;- Ajudar a organização na avaliação das fraquezas dos controle e ajudar a encontrar conclusões quanto a estratégias apropriadas para mitigar estes riscos;- Comunicar o comitê de auditoria sobre a avaliação dos controles internos e das auditorias, investigações e atividades relacionadas.

Enfoque Tradicional

• Foco nos controles. • Foco nos riscos.

• Testes com base em programa de trabalho padrão.

• Testes de todos os controles.

• Testes com base no levantamento das informações.

• Testes focalizados, somente dos controles que minimizam os riscos relevantes.

Enfoque era SOX (Foco em Riscos)

• Riscos avaliados com base na experiência do auditor.

• Padronização do processo de avaliação de riscos.

• Maior parte do tempo gasto em revisão e consolidação.

• Maior parte do tempo gasto em levantamento e análise de informações.

Comparação:

63

A SOX, tem duas seções sobre certificação: 302 e 906.

A seção 302 determina um conjunto de procedimentos internos desenhados para garantir a evidenciação financeira.

A seção 906 exige uma certificação pelo Presidente (CEO) e Diretor Financeiro (CFO) acompanhe cada relatório periódico que inclui as demonstrações financeiras

> A SEC adotou a regra exigindo que a certificação seja fornecida como parte de cada relatório anual e trimestral as correspondentes alterações.

> O Presidente e Diretor Financeiro deverão certificar que avaliaram a eficácia dos controles internos e dos procedimentos de divulgação da empresa dentro de 90 dias da data do relatório.

> As regras exigem que a certificação seja incluída em relatórios anuis nos formulários: 10-K, 10-KSB, 20-F e 40-F, relatórios trimestrais nos formulários: 10-Q e 10-QSB e alterações em quaisquer dos relatórios acima mencionados.

A seção 404, exige que administração da empresa produza o Internal Control Report Financial (ICRF) como parte do informe anual.O informe deve afirmar a responsabilidade da administração em estabelecer e manter procedimentos e uma estrutura adequada de controle interno para o informe financeiro.O informe ainda precisa conter uma avaliação, na data do final do ano fiscal mais recente da empresa, da efetividade dos procedimentos e da estrutura de controle interno do emitente do informe financeiroA firma de auditoria, auditoria externa, precisa atestar a avaliação de controle interno da administração.A recomendação da SEC, é utilizar o COSO como guia para implementar o Sistema de Controle Interno (SCI)


64

Administração É responsável pelos controles internos e pela preparação das demonstrações financeiras

Auditoria Interna É responsável por testar e monitorar os controles internos

Auditoria ExternaÉ responsável por certificar a apresentação das demonstrações financeiras e a avaliação efetuada pela Administração para suportar a certificação da eficácia dos controles internos

Supervisionar os processos e os participantesComitê de Auditoria

SOX: Papéis e Responsabilidades:


65

Questão:

Para quais dos itens abaixo há o maior risco de serem reportadas é esperado o maior volume de fraquezas materiaisnos controles internos?a) Tecnologia da Informaçãob) Reconhecimento de receitac) Gerenciamento do Imobilizadod) Compras e contas a pagare) Impostosf) Recursos Humanosg) Tesourariah) Encerramento e apresentação das demonstrações financeirasi) Outros

Fraquezas Materiais nos Controles Internos

65; 65%4; 4%

7; 7%

4; 4%

2; 2%

7; 7%

4; 4%

7; 7%0; 0%

a) Tecnologia daInformação

b) Reconhecimento dereceita

c) Gerenciamento doImobilizado

d) Compras e contas apagar

e) Impostos

f) Recursos Humanos

g) Tesouraria

h) Encerramento eapresentação dasdemonstraçõesfinanceiras

i) Outros

Fonte: Síntese e Resultado da 9ª mesa de debates - Sox Update e Avaliação do Ambiente de Controle (COSO) KPMG – 2006/2007

Nota:Para 65%, há uma percepção de que a tecnologia da informação é a que poderá gerar um maior volume de fraquezas materiais. Os demais itens estiveram restritos a uma faixa de 2% a 7%. A título de comparação, pesquisa similar realizada em 2005 teve como resultado uma votação de 57% para TI, o que indica que esta preocupação não é recente e se manteve no mesmo patamar.

Materiality. Generally, the degree to which environmental financial information is relevantfor purposes of financial reporting. The concept of materiality is a primary considerationin every aspect of financial reporting. The specific application of the concept variesslightly depending on the circumstances and the particular application.

Tradução livre:Materialidade. Geralmente, o grau de informação financeira ambiental é relevante para feitos de reporte financeiro. O conceito de materialidade é uma consideração primordial em todos os aspectos da informação financeira. A aplicação específica do conceito varia ligeiramente, dependendo das circunstâncias e da aplicação em particular.



O auditor deve aplicar o conceito de materialidade em uma auditoria dos controles internos sobre relatórios financeiros, tanto na declaração financeiras nível e ao nível saldo da conta individual. O auditor usa materialidade no nível de instrução-financeiras na avaliação se uma deficiência, ou uma combinação de deficiências nos controles é uma deficiência significativa ou uma fraqueza material. A materialidade, tanto a declaração financeira e no nível saldo da conta individual é relevante para o planejamento os procedimentos de auditoria e de projeto. A materialidade a nível saldo da conta é necessariamente menor do que a materialidade no nível de instrução financeira.

A mesma definição conceitual de materialidade que se aplica às instituições financeiras relato aplica-se às informações sobre os controles internos sobre relatórios financeiros, incluindo a relevância de ambas as considerações de ordem quantitativa e qualitativa. As considerações quantitativas são essencialmente o mesmo que em uma auditoria das demonstrações financeiras. Eles referem-se se as distorções que não pode ser impedido ou detectado pelo controle interno sobre relatórios financeiros, individualmente ou coletivamente, tenham um efeito material sobre o quantitativo financeiro declarações. As considerações se aplicam a avaliação qualitativa com a materialidade respeito às demonstrações financeiras e outros fatores que se relacionam com o necessidades percebidas de pessoas razoáveis, que irá contar com a da informação.

Por exemplo, o auditor deve estar ciente de que as pessoas que dependem das informações sobre os controles internos sobre relatórios financeiros incluem investidores, credores, o conselho de administração e fiscalização, e reguladores setores especializados, como serviços bancários ou de seguros. O auditor deve ser ciente de que os usuários externos das demonstrações financeiras estão interessados em informações sobre controles internos sobre relatórios financeiros, pois melhora a qualidade da informação financeira comunicação e aumenta a sua confiança na informação financeira, incluindo informações financeiras emitidas entre relatórios anuais, tais como informações trimestrais. Informações sobre os controles internos sobre relatórios financeiros também se destina a fornecer um alerta para aqueles que estão dentro e fora da empresa que estão em posição para insistir na melhoria desses controles, tais como a comissão de auditoria e os reguladores em indústrias especializadas.

69

Deficiência de Controle Interno:

A gravidade de uma deficiência de controle interno pode ser avaliada como um material

weakness ou significant deficiency, fundamentada no potencial de erros ou fraudes nas demonstrações financeiras que estas deficiências possam gerar, não sendo necessário que esses erros ou fraudes tenham efetivamente ocorrido.


� Uma deficiência do controle interno existe quando o desenho ou a operação de um controle não permite que administradores ou empregados, no curso normal da execução das respectivas funções, para prevenir ou detectar erros em tempo hábil;

� Uma deficiência significativa é uma deficiência de controle, ou uma combinação de deficiências de controle, que afete adversamente a capacidade da empresa para iniciar, autorizar, registrar processo, ou relatório externo de dados financeiros de forma confiável, de acordo com os princípios contabilísticos geralmente aceites, tal que não é mais do que uma probabilidade remota que uma distorção de declarações anuais ou trimestrais que é mais inconseqüentes que não serão prevenidos ou detectados.

� A fraqueza material é uma deficiência significativa ou uma combinação de deficiências significativas que resulta em mais de uma probabilidade remota de que a distorção de um material das declarações anuais ou trimestrais não serão impedidas ou detectada.


Exemplos de Fraqueza Material :

- Em razão de erros decorrentes do uso de planilhas eletrônicas para a elaboração das Demonstrações Financeiras. -Nos controles relativos a reconciliações em US GAAP, que originaram erros (republicações) nas Demonstrações Financeiras de 2004 e 2005.

Exemplos de Deficiência Significante: - Relacionada à republicações das Demonstrações Financeiras de 2004 e 2005 devido a erros de Classificação.


Exemplo 1 - Reconciliações de contas correntes não são realizadas em tempo hábil

Cenário A - Deficiência Significativa

A empresa processa um número significativo de operações intercompanhias mensalmente. Uma política formal de gestão exige a conciliação das contas intercompanhias sejam mensais e a confirmação de saldos entre as unidades de negócio. No entanto, não há um processo para garantir a realização desses procedimentos. Como resultado, as conciliações de contas intercompanhias não são realizados em tempo hábil.

A gestão não realiza os procedimentos mensais para investigar as contas se há diferenças entre as empresas.

Com base apenas nesse fato, o auditor deve determinar que essa deficiência represente uma deficiência significativa pelas seguintes razões: A magnitude de uma distorção das demonstrações financeiras resultantes desta deficiência seria razoável esperar ser mais do que inconsequente, mas menos do que o material, porque operações intercompanhias não são materiais, e os controles de compensação operacional mensal deve detectar distorções materialmente relevantes.Além disso, as transações são basicamente restrita ao equilíbrio das contas da folha. No entanto, os controles de detecção de compensação são concebidos apenas para detectar distorções relevantes.Os controles não abordam a detecção de erros que são mais inconsequentes, mas menos de material. Portanto, a probabilidade de que uma distorção que foi mais do que inconsequente, mas menos do que o material, poderia ocorrer é mais do que remota.


Cenário B – Fraqueza Material

A empresa processa um número significativo de operações intercompanhias em uma base mensal. As transacções internas dizem respeito a uma vasta gama de atividades, incluindo a transferência de estoque, com lucro intercompanhia entre unidades de negócio, alocação de custos de pesquisa e desenvolvimento de unidades de negócio, e os encargos das empresas. As transações entre empresas individuais são freqüentemente material.

Uma política formal de gestão exige a conciliação mensal das contas intercompanhias e confirmação de saldos entre unidades de negócio. No entanto, não há um processo no local para garantir que esses procedimentos são realizados em uma base consistente. Como resultado, as conciliações das contas intercompanhias não são realizados em tempo hábil, e as diferenças nas contas intercompanhias são freqüentes e significativos. A Administração não executar qualquer alternativa controles para investigar diferenças significativas entre empresas.

Com base apenas nesses fatos, o auditor deve determinar que essa deficiência represente uma fraqueza material, pelas seguintes razões: A magnitude de uma distorção das demonstrações financeiras resultantes desta deficiência seria razoável supor ser material, porque as transações entre empresas individuais são freqüentemente material e se relacionar com uma ampla gama de atividades.Além disso, reais diferenças irreconciliáveis nas contas intercompanhias foram, e são, material.A probabilidade de tal distorção é mais remota, porque tais distorções têm ocorrido com freqüência e os controles de compensação não são eficazes, porque não são devidamente concebidos ou não funcionam de maneira eficaz.Tomados em conjunto, a magnitude e a probabilidade da distorção das demonstrações financeiras resultantes desta deficiência de controle interno satisfaçam a definição de uma fraqueza material.


Cenário A - Fraqueza Material

Durante a sua avaliação dos controles internos sobre relatórios financeiros, de gestão identificou as seguintes deficiências. O auditor concorda que estas deficiências representam individualmente deficiências significativas:

• Segregação inadequada dos direitos de acesso a certas informações sobre o sistema de controle. Diversos exemplos de transações que não foram devidamente registradas em livros subsidiários;

• Operações que não foram materiais, quer individualmente ou em conjunto;• A falta de conciliações dos saldos das contas afetadas.

Com base apenas nesses fatos, o auditor deve determinar que a combinação desses deficiências significativas representa uma fraqueza material, pelas seguintes razões: Individualmente, Estas deficiências foram avaliados como representando um risco mais remoto que um distorção que é mais do que inconsequente, mas menos do que o material, poderia ocorrer. No entanto, cada uma dessas deficiências significativas afeta o mesmo conjunto de contas. Tomados em conjunto, essas deficiências significativas representam um risco mais remoto que uma distorção relevante pode ocorrer e não ser impedido ou detectado. Portanto, em conjunto, essas deficiências significativas representam uma fraqueza material.

Cenário B - Fraqueza Material

Durante a sua avaliação dos controles internos sobre relatórios financeiros foi identificado deficiências no projeto de controle sobre a estimativa de perdas de crédito (uma estimativa contábil crítica), a eficácia operacional dos controles para iniciar o processamento, análise e ajustes à provisão para perdas de crédito e a eficácia operacional dos controles projetados para prevenir e detectar o reconhecimento indevido de juros. A gestão e o auditor concordam que, no seu contexto geral, cada uma dessas deficiências individualmente representa uma deficiênciasignificativa.Além disso, durante o ano passado, a empresa experimentou um significativo nível de crescimento dos saldos de empréstimos que foram submetidos aos controles que regem estimativa de perda de crédito e de reconhecimento de receita, e um maior crescimento é esperado no próximo ano.Com base apenas nesses fatos, o auditor deve determinar que a combinação desses deficiências significativas representa uma fraqueza material, pelas seguintes razões:

• Os saldos das contas de empréstimo afetados por essas deficiências significativas aumentou relativamente ao ano passado e devem aumentar no futuro.• O crescimento dos saldos de empréstimos, juntamente com o efeito combinado das deficiências significativas descrito, resulta em uma probabilidade mais remota que a distorção de um material da provisão para perdas de crédito ou renda de juros poderia ocorrer.Portanto, em combinação, essas deficiências correspondem à definição de uma fraqueza material.


significant deficiency. A control deficiency, or combination of control deficiencies, that adversely affects the entity's ability to initiate, authorize, record, process, or report external financial data reliably in accordance with GAAP such that there is more than a remote likelihood that a misstatement of the company's annual or interim financial statements that is more than inconsequential will not be prevented or detected.

Tradução livre:Deficiência Significativa. A deficiência de controle, ou uma combinação de deficiências de controle, que afeta negativamente a capacidade da entidade para iniciar, autorizar, registrar, processar, ou relatório externo de dados financeiros de forma confiável, de acordo com GAAP* de tal forma que há mais de uma probabilidade remota a possibilidade de distorção da empresa anuais ou demonstrações financeiras que é mais do que inconsequente não serão prevenidos ou detectados.* GAAP - Generally Accepted Accounting Principles - são um conjunto de orientações e práticas utilizadas pela comunidade de contabilidade. Em os EUA, as normas GAAP são definidas pelo Financial Accounting Standards Board (FASB). FASB atualiza continuamente questões contábeis GAAP como novo e as preocupações surgem. Fora os EUA, o equivalente a GAAP IAS - International Accounting Standards - que é mantido pelo International Accounting Standards Board.

As demonstrações financeiras apresentadas à SEC por companhias abertas ao público são obrigados a cumprir as normas GAAP. Ao comparar as demonstrações financeiras de diferentes anos, é importante notar qualquer alteração no GAAP para o período de intervenção. Desde GAAP é apenas um conjunto de orientações, não pode garantir as demonstrações financeiras não são fraudulentos. Se a administração da empresa prevê a empresa de auditoria, com dados incorretos, as demonstrações financeiras resultantes podem ser compatíveis com GAAP ainda continua errada.


A material weakness is a significant deficiency, or combination of

significant deficiencies, that results in more than a remote likelihood

that a material misstatement of the annual or interim financial

statements will not be prevented or detected. Material weaknesses

must be reported in the issuer’s Form 10-K.

Tradução livre

Uma fraqueza material é uma deficiência significativa, ou uma

combinação de deficiências significativas, que resultados em mais

de uma probabilidade remota de que uma distorção relevante nas

declarações anuais ou demonstrações financeiras

não serão prevenidos ou detectados. Insuficiências materiais devem

ser apresentados no Formulário 10-K.


O que é uma fraqueza material?Uma fraqueza material é uma deficiência que resulta em uma probabilidade mais do que remota de que um erro material contido em uma demonstração financeira anual ou de um determinado período não será evitado ou detectado.Não significa que um erro relevante TENHA ocorrido ou VÁ OCORRER, mas que PODERIA ocorrer.Depende de julgamento da probabilidade de ocorrência e da magnitude de impacto do erro.

Quais são os indicadores de uma fraqueza material?Um ambiente de controle ineficaz;Republicação em razão de erro ou fraude;Supervisão ineficaz pelo Comitê de Auditoria;Atuação ineficaz da auditoria interna;Fraude cometida pela alta gerência;Deficiências significativas que não são remediadas após um determinado período de tempo;Identificação de uma fraqueza material pelo auditor, que não foi identificada inicialmente pelos controles internos da empresa.A avaliação de uma fraqueza material (material weakness)Como os membros dos Comitês de Auditoria devem avaliar uma fraqueza material? Citamos aqui algumas questões que deveriam ser feitas à Administração por membros de um Comitê de Auditoria:• No caso de uma fraqueza material, até que ponto ela está relacionada à cultura, à conduta ética e à integridade da organização?• No caso de fraude por parte da Administração, quem são os envolvidos? E o que se sabe sobre a natureza da fraude? Quanto tempo durou? Resultou de uma falha temporária nos processos ou é uma questão maior, que abrange o sistema como um todo? E até que ponto o problema se espalha pela organização? Será que se aplica a vários processos da empresa ou é algo mais restrito?• Será que o problema está relacionado com outros processos-chave? Por exemplo, ao processo de reconhecimento de receita da empresa ou é algo bem restrito? Resulta da investigação por parte de um órgão regulamentar ou do surgimento de uma contingência?Também deve-se descobrir se a empresa possui um histórico de republicações e correções de seus relatórios financeiros, e o que se pode dizer sobre a qualidade dos funcionários e dos processos envolvidos na elaboração dos relatórios financeiros.Nesse sentido, é possível que o mercado tenha altas expectativas quanto à reação da Administração à existência de uma fraqueza material:• Será que a empresa estará disposta a divulgá-la ao público?• E a linguagem utilizada? É suficientemente aberta e transparente para permitir que os leitores das demonstrações financeiras tenham uma boa compreensão dessas deficiências ou tenta-se não fornecer tantas informações assim, negando a existência do problema ou amenizando seus efeitos?Muitas pessoas querem saber como o mercado reagirá a um parecer contrário. A resposta vai depender da reação e da disponibilidade da Administração para discutir tal deficiência. Se o mercado sentir que a Administração não quer fornecer muitas informações e talvez até esteja em conflito com os auditores, provavelmente a reação será mais grave do que se a deficiência estiver relacionada a um único processo com muitas informações disponibilizadas.Outra questão importante que deve ser compreendida pelos membros do Comitê de Auditoria e pelo público refere-se à possibilidade de uma empresa ter, ao mesmo tempo, demonstrações financeiras precisas e um sistema de controle interno ineficaz. Isso porque um sistema de controle interno ineficaz não impede que a Administração da empresa venha a gerar demonstrações financeiras adequadas e adote procedimentos adicionais para assegurar a precisão destas – procedimentos além daqueles normalmente adotados ao final de cada exercício – e para isso o auditor teria que testar mais complexamente a precisão desses relatórios financeiros. Porém, não resta dúvida de que as empresas com controles internos ineficazes farão o que for necessário para produzir demonstrações financeiras precisas.

77

• Testes de controle são realizados com o objetivo de validar se um controle está operando eficazmente ou não.

• Testes substantivos são realizados para validar o saldo de uma conta contábil ou divulgação.

Não se pode concluir sobre a efetividade operacional de um controle baseado unicamente na verificação de que o saldo da conta contábil ou

divulgação estão corretos.


• Deficiência de controle existe quando o desenho ou operação de um controle não permite a administração ou empregados, no curso normal da realização das suas tarefas, de prevenir ou detectar divulgação inexata em tempo hábil.

– Uma deficiência no desenho existe quando (a) um controle necessário para se

chegar ao objetivo de controle está faltando ou (b) um controle existente não está apropriadamente desenhado, de forma que mesmo que o controle opere como esperado, o objetivo de controle nem sempre é atingido.

– Uma deficiência na operação existe quando um controle apropriadamente

criado não opera da forma como foi desenhado, ou quando a pessoa que realiza o controle não possui a necessária autoridade ou qualificação para executar o controle efetivamente.



Um deve ser...

82

• Deve assegurar a salvaguarda dos ativos e promover o desenvolvimento dos negócios

útil

• Apropriado ao tamanho da empresa e ao porte das operações, objetivo em relação ao que controlar e simples na sua aplicação

prático

• O benefício de se manter um controle deve ser maior que o seu custo (custo/benefício)

econômico


ImportânciaO controle interno é importante porque contribui para:

• Potencializar a salvaguarda dos ativos

• Maximizar a eficácia e eficiência das operações

• Gerar confiabilidade nas informações dos relatórios financeiros.

• Auxiliar no cumprimento de leis e regulamentos aplicáveis.

83


AMBIENTE DE CONTROLE

AVALIAÇÃO DE RISCOS

ATIVIDADES DE CONTROLE

O alicerce de todos os outros elementos dos controles internos, que inclui valores éticos e a competência dos funcionários da companhia;

Identificação e a análise dos riscos pertinentes que podem impedir o alcance dos objetivos dos negócios;

Tarefas específicas para reduzir e/ou eliminar cada um dos riscos identificados anteriormente;

84


INFORMAÇÃO E COMUNICAÇÃO

DEFINIÇÃO DE RESPONSABILIDADES

MONITORAMENTO

São as vias de comunicação que partem da administração para os funcionários e vice-versa. A administração deve cultivar o “desejo de informar”;

Os empregados podem e devem entender os objetivos da empresa, os riscos e as responsabilidades que cada um tem no contexto operacional;

O monitoramento é realizado através de atividades gerenciais contínuas ou avaliações independentes ou de ambas as formas;

85


• Avaliação do Ambiente, Cultura e dos Riscos

• Definição dos objetivos e do apetite ao risco

• Descrição do controle interno (útil, prático e viável)

Elaboração

• Definir a amplitude na comunicação do Controle Interno

• Estabelecer um prazo de adaptação e treinamento do staff

• Identificar as não conformidades e eliminá-las

Implantação

• Criação de uma equipe de supervisão e monitoramento

• Estabelecimento de um cronograma de revisão e auditoria

• Reavaliação dos controles – eficácia e utilidade a cada período

Monitoramento

86


de para

1. Requisições e ordens manuais

2. Multiplas bases de dados de

fornecedores

3. Termos e condições comerciais

complexos/variáveis

4. Numerosos fornecedores

selecionados pelo requisitante

5. Pagamentos e aceite realizados sem a ordem de compra correspondente

6. Departamento de compras inexistente ou demasiadamente preocupado com o cumprimento dos processos

1. Sistema integrado com requisições e ordens aprovadas on-line

2. Única base de dados de fornecedores

3. Termos e condições comuns para todos fornecedores, dependendo do tipo de contrato

4. Requisições somente utilizando a

política e normas de compras acordadas,

disponíveis no sistema

5. Maioria dos produtos/mercadorias possuem ordem de compra em consonância com a Nota Fiscal

6. Processos eficientes, permitem o departamento de compra agregar mais valor ao business da empresa

87


Características dos Processos

Características dos Sistemas

� Segregar o gerenciamento do caixa das funções do contas a pagar e a receber

� Minimizar o nível da requisições do fundo fixo

� Buscar mecanismos para avaliação dos custo e riscos básicos

� Mapear os ciclos de pagamento e recebimento, buscando ações para minimizar o período total deste último

� Realizar reconciliações bancárias periódicas, identificando e sanando todas as pendências e cheques nao compensados

� Obter acesso on-line para os saldos bancários (extratos)

� Monitorar o custo do capital

� Saldos do caixa reportadosdiariamente, baseados nascontas e centros de negócio

� Tesouraria determina o prazomínimo para a requisição de numerário, da previsão do fluxode caixa e do report diário

� Gerenciamento do fluxo de caixa pela tesouraria

� Contas de empréstimo da empresa conciliadasmensalmente

� Consolidar a tesouraria e gerenciar o requerimento da previsão de caixa

� Monitorar o fluxo no banco para minimizar o pagamento de juros e maximizar recebimentos

� Previsão de caixa em bases regulares: Antever 12 meses – ano e revisar a projeção dos próximos 5 anos

� Uso do sistema eletrônico para a maioria dos pagamentos e recebimentos

� Sistema de segurança e senhas eficazes para a realização dos pagamentos

� Sistema multi-moedas

.

� Boletos bancários emitidos em conjunto com a Nota fiscal

� Reconciliação bancária e contábil realizadas eletronicamente

� Sumário da consolidação das informações do caixa disponível on-line para a tesouraria

� Reconciliação dos saldosintercompanies realizadoeletronicamente

� Detalhamento analítico da contabilidade e do razão integrados

� Relatórios de previsão do caixa e de comprometimento/registros contábeisautomáticos

� Análises de projetos e controles conectados aosistema financeiro

� Análises de participação de Mercado, custo de produtos,etc.

Estabelecer e

manter controles

para o caixa

Realizar

conciliações

bancárias

Reportar e

Gerenciar os

Saldos bancários

Prever

Requisições de

Caixa

88

Para o desenvolvimento de um programa de controlesinternos que direcione as medidas da Lei Sarbanes-Oxley, é recomendável que as seguintes etapas sejam seguidas:


1 Comprometer-se e organizar-seA compreensão de como a Lei Sarbanes-Oxley se aplica às companhias – de acordo com as características de negócio – será útil para o desenvolvimento do programa de controles internos. Muitos fatores deverão ser considerados. Por exemplo, companhias de maior porte encontrarão desafios diferentes das de menor porte. Além disso, a proporção da estrutura de controles internos em prática terá influência significativa sobre as atividades.

Três grupos desempenharão um papel importante:o Conselho de Administração, que supervisiona o compromisso com a tarefa; o Diretor Executivo e o Diretor Financeiro, que reconhecem a responsabilidade de assegurar o cumprimento das regras e transmitir as informações à Alta Administração e aos funcionários; e o Comitê Diretor de Trabalho, que supervisiona e coordena as atividades relativas à Lei Sarbanes-Oxley em toda a organização.

Com o entendimento do esforço que as companhias provavelmente terão de fazer, é necessário estar pronto para começar. E este processo somente poderá ser iniciado por um lugar – pela Alta Administração.

O Diretor Executivo e o Diretor Financeiro devem determinar a conduta e iniciar o curso de ação. O Conselho de Administração também desempenha um papel importante. Embora não seja diretamente responsável pela implementação da Lei Sarbanes-Oxley, o Conselho de Administração deve supervisionar o compromisso da companhia com a tarefa e deve se manter informado sobre o desenvolvimento do programa de controles internos.


É claro que, para participar efetivamente, o Diretor Executivo, o Diretor Financeiro e o Conselho de Administração devem possuir conhecimento suficiente da Lei. Se forem necessárias sessões de instruções para facilitar esse trabalho, elas devem ser programadas. Uma vez que os membros tenham uma apreciação completa das demandas da Lei Sarbanes-Oxley, o Diretor Executivo e o Diretor Financeiro devem formalmente comprometer a companhia com a tarefa e reconhecer a responsabilidade por assegurar o cumprimento das regras.

Posteriormente, deve ser emitido um comunicado formal para a Alta Administração e para os funcionários. Esse comunicado deve incluir diretrizes para o cumprimento das medidas da Lei Sarbanes-Oxley, uma definição da tarefa a ser empreendida, instruções gerais e a ampla designação de recursos.


É recomendável a criação de um Comitê Diretor de Trabalho para supervisionar e coordenar todas as atividades relacionadas com a Lei Sarbanes-Oxley – incluindo aquelas que excedem o escopo das Seções 302 e 404 – em toda a organização. Trata-se de um grupo de alto nível: seus membros devem ser instruídos acerca da “imagem global” da companhia, integrar a implementação da estratégia da companhia, ter autoridade para tomar decisões críticas e direcionar recursos onde e quando necessário.

Em companhias de menor porte, o Comitê Diretor de Trabalho pode ser formado de apenas duas pessoas, que irão certificar a eficácia dos controles internos – o Diretor Executivo e o Diretor Financeiro. Em organizações maiores, é possível incluir outros membros, como o Diretor Contábil, o Diretor de Auditoria Interna e o Conselheiro-Geral, bem como um Conselheiro do Comitê de Auditoria. Em companhias de todos os portes, um membro da Diretoria deve ser designado para monitorar os processos e os progressos do Comitê Diretor de Trabalho.


As deliberações e ações do Comitê Diretor de Trabalho – bem como aquelas de qualquer outro grupo que esteja trabalhando no cumprimento das regras – devem ser documentadas. Um registro expresso pode servir como mapa para colocar os objetivos em execução. É recomendável consultar o Conselho Jurídico em relação à natureza e abrangência da documentação.As funções do Comitê Diretor de Trabalho incluirão:


estabelecer parâmetros dentro dos quais o Comitê de Divulgação irá operar;

identificar as pessoas necessárias para alcançar os objetivos;

manter o Conselho de Administração e a administração informados sobre o progresso.

2 Selecionar uma estrutura de controles internos apropriada

Para atingir os objetivos previstos pela Lei Sarbanes-Oxley, muitas companhias constroem a estrutura de controles internos segundo as recomendações do Committee of Sponsoring Organizations of the Treadway Commission – COSO.

A estrutura recomendada pelo COSO desmembra os controles internos em cinco componentes inter-relacionados: o Ambiente de Controle – o alicerce de todos os outros elementos dos controles internos, que inclui os valores éticos e a competência dos funcionários da companhia; a Avaliação de Riscos – a identificação e a análise de riscos pertinentes que podem impedir o alcance dos objetivos do negócio; as Atividades de Controle – tarefas específicas para atenuar cada um dos riscos identificados anteriormente; a Informação e Comunicação – vias de informação que partem da administração para os funcionários e vice-versa; e o Monitoramento – a avaliação e a apreciação dos controles internos.


3 Conferir poderes ao Comitê de Divulgação

A formação de um Comitê de Divulgação representa um dos mais importantes controles que uma companhia pode implementar. O Comitê de Divulgação executa inúmeras funções, incluindo a revisão dos registros da SEC, a recomendação de parâmetros para a divulgação, a supervisão dos processos de divulgação e a revisão das deficiências dos controles e das insuficiências materiais com o Diretor Executivo e com o Diretor Financeiro.


A formação e as atividades de um Comitê de Divulgação representam um dos controles mais importantes que uma companhia pode implementar para assegurar que seus registros sejam claros, precisos, pontuais e completos.

Na verdade, as questões quanto à divulgação fornecem grande parte das direções anteriores à Lei Sarbanes-Oxley. A Seção 302 da Lei determina que os Diretores Executivos e os Diretores Financeiros certifiquem-se de que os controles e procedimentos de divulgação são apropriados e eficazes. Além disso, é possível que a SEC exija que o auditor independente da companhia ateste a eficácia dos controles e procedimentos de divulgação da companhia, além dos controles e procedimentos internos para a emissão de relatórios financeiros. Na verdade, a SEC realmente considera a questão da divulgação tão importante que aconselha todas as companhias de capital aberto a criarem um comitê dedicado à supervisão das atividades de divulgação.


Com base em nossas observações preliminares, Comitês de Divulgação eficazes são compostos por pessoas que:

� estão familiarizadas com as regras da SEC;� estão instruídas quanto aos aspectos primários dos negócios da companhia;� estão familiarizadas com as práticas de divulgação de companhias similares;� ocupam posições dentro da companhia que lhes permitem agir quando necessário.

O porte da companhia determinará parcialmente a composição do Comitê de Divulgação. É possível que companhias maiores tenham um complemento total de pessoal com os cargos relacionados a seguir. Companhias menores podem ter pessoas cujas descrições de cargos se enquadrem em vários títulos. Alguns possíveis membros do Comitê de Divulgação incluem:

1) Diretor Contábil ou Controller.2) Conselheiro-Geral ou outro superior jurídico responsável pelos registros na SEC que se reporte ao Conselheiro-

Geral.3) Diretor de Avaliação de Riscos.4) Diretor de Investimentos.5) Diretor Operacional.6) Outros funcionários (incluindo representantes da unidade operacional) que a companhia julgar apropriados.

Algumas dessas pessoas podem ser líderes de unidades operacionais-chave, líderes de regiões geográficas, representantes de desenvolvimento operacional ou representantes de recursos humanos.

Outras partes, como auditores independentes e consultores jurídicos externos, podem atuar como conselheiros valiosos para o Comitê de Divulgação, mas não devem tomar decisões ou assumir funções como membros do grupo com direito a voto.


O Comitê de Divulgação exerce inúmeras funções, incluindo:

1. Determinação da pertinência das divulgações nos esboços de todas as informações difundidas publicamente.

2. Supervisão do processo pelo qual as divulgações são criadas e revisadas.3. Identificação do que constitui transações ou eventos “significativos”.4. Identificação de que constitui uma “deficiência significativa” e “insuficiência material” no desenho ou na operação dos controles internos.

5. Certificação de que o Diretor Executivo e o Diretor Financeiro estejam cientes das informações materiais que podem afetar as divulgações.

6. Revisão das deficiências dos controles com o Diretor Executivo e com o Diretor Financeiro para verificar se, individual ou globalmente, elas constituem uma insuficiência material, e realização de recomendações quanto à sua divulgação nos registros na SEC.


Uma das ações preliminares do Comitê de Divulgação será definir sua missão. Para operar de forma eficaz, o comitê deve desenvolver uma descrição clara do escopo de suas responsabilidades. Ele deve também obter a confirmação formal de sua compreensão com o Diretor Executivo e o Diretor Financeiro.


A tarefa mais importante que o Comitê de Divulgação terá pela frente será a certificação de que os processos estão em operação para obter e analisar as informações, visando verificar se ocorreu uma divulgação apropriada. Entre outros itens, o comitê deve revisar:

1. todos os registros da SEC, incluindo todos os registros do Exchange Act de 1934 (ou seja, formulários 10-Q, 10-K e 20-F), e as demonstrações de registro do Securities Act de 1933 (ou seja, formulários S-1 e S-3);

2. avaliações efetuadas trimestral ou anualmente pela administração dos controles e procedimentos de divulgação e dos controles e procedimentos internos para emissão de relatórios financeiros;

3. todos os releases que forneçam informações financeiras ou diretrizes, informações sobre aquisições materiais, disposições ou outros eventos que sejam materiais para a companhia;

4. a correspondência amplamente divulgada aos acionistas;5. todas as apresentações para conferência dos investidores ou analistas, de acordo com a Regulamentação FD (Full Disclosure);

6. todas as apresentações para agências de classificação e agentes de crédito;7. relatórios de auditoria interna;8. livros de instruções específicas da administração;9. livros de instruções específicas do Conselho de Administração e do Comitê de Auditoria;10. políticas de divulgação adotadas pela companhia para as informações incluídas nos sites de suas relações com seus investidores/associados.


Embora o Comitê de Divulgação esteja sob a responsabilidade do Diretor Executivo e do Diretor Financeiro, um de seus membros pode reunir-se periodicamente com o

Comitê de Auditoria para discutir:

� as atividades do Comitê de Divulgação;� a qualidade das divulgações incluídas nos registros da companhia;� discordâncias com o Diretor Executivo e com o Diretor Financeiro;� discordâncias com especialistas externos, como consultores jurídicos ou auditores independentes.

O Comitê de Auditoria também pode assumir um papel nas resoluções de discordâncias significativas. Por exemplo, se o Comitê de Divulgação recomenda a divulgação de uma determinada informação, mas o Diretor Executivo e/ou o Diretor Financeiro discorda, o Comitê de Auditoria pode ser chamado para ajudar a resolver o impasse.


Para muitas companhias, o cumprimento das medidas da Lei Sarbanes-Oxley relativas aos controles internos exigirá um esforço significativo. Na verdade, o trabalho inicial – desenvolver um programa de controles internos e a infra-estrutura-suporte relacionada – pode ser intensivo. Entretanto, uma vez que o programa esteja bem estabelecido, a carga será amenizada e a estrutura e os processos tornar-se-ão parte dos procedimentos operacionais padrão de sua companhia.

As etapas relacionadas a seguir, e posteriormente detalhadas, podem ser seguidas ao se estabelecer um programa de controles internos:

1. Planejar o programa.2. Avaliar o ambiente de controle.3. Definir o escopo.4. Construir um repositório de controles.5. Executar testes iniciais e contínuos.6. Monitorar.


4 Estabelecer um programa de controles internos

Para esta etapa de trabalho intensivo, são necessárias várias ações:

Planejar o programa – para estabelecer o programa de controles internos ou fortalecer um programa já existente, é recomendável a formação de uma Equipe de Gerenciamento do Programa de Controles Internos. Empresas de menor porte podem remanejar o staff existente, com base em meio expediente. Provavelmente, companhias de maior porte necessitarão de pessoal em jornada integral e exclusiva.Avaliar o ambiente de controle – constituindo o alicerce dos controles internos, o ambiente de controle inclui elementos como integridade, valores éticos e competência; filosofia da administração e estilo operacional; delegação de autoridade e responsabilidades; e direção fornecida pelo Conselho de Administração. Uma avaliação cultural pode auxiliar a compreender e a documentar o ambiente de controle já existente nas companhias.


Definir o escopo – o objetivo do processo de definição do escopo é identificar os riscos na emissão de relatórios financeiros e na divulgação. Ele também permitirá que os esforços sejam priorizados e focalizados.Construir um repositório de controles – o arquivo de controles serve como um depósito para todas as informações e atividades relacionadas com os controles internos, contendo a documentação relativa aos objetivos de controle, ao desenho e à implementação, bem como os métodos utilizados para testar a eficácia operacional dessas atividades.Executar testes iniciais e contínuos – a eficácia operacional das atividades de controle deve ser avaliada por várias partes, incluindo as pessoas responsáveis pelos controles e a Equipe de Gerenciamento do Programa de Controles Internos.Monitorar – a função de auditoria interna deve monitorar a eficácia de todo o programa de controles internos e da infra-estrutura. (Companhias que não tenham uma função de auditoria interna podem considerar a utilização da Equipe de Gerenciamento do Programa de Controles Internos para executar essas atividades.)


É recomendável a formação de uma Equipe de Gerenciamento do Programa de Controles Internos para estabelecer o programa específico sobre o assunto. O porte e a complexidade de sua companhia determinarão a alocação dos recursos pessoais para a equipe. Em uma pequena companhia, provavelmente, será necessária pouca estrutura organizacional; a equipe poderá ser constituída apenas por membros que trabalhem meio expediente –talvez um gerente de projeto e mais alguns funcionários. Entretanto, para companhias maiores, será necessário dispor de um número significativo de pessoas em funções que exijam dedicação integral.

Para muitas companhias que já possuem um grupo responsável pelos controles internos, talvez não seja necessário formar uma nova Equipe de Gerenciamento do Programa de Controles Internos. Contudo, o Comitê Diretor de Trabalho deve avaliar se o grupo responsável pelos controles internos existente possui o pessoal apropriado para conduzir as etapas selecionadas pela companhia.


Após a formação da equipe, um plano de projeto deve ser criado. Em nível geral, o processo global de planejamento deve resultar no seguinte:

1. Entendimento e consenso acerca de objetivos, distribuições, escopo, custos e enfoque do projeto.

2. Compromisso de que os recursos necessários estejam disponíveis quando solicitados.

3. Consenso sobre a utilização de recursos externos e uma descrição dessas funções.

4. Uma linha de base do projeto com a qual o progresso possa ser comparado.

5. Consenso acerca dos processos e das metodologias utilizadas para gerenciar o projeto.


Com freqüência, confiabilidade nos controles internos é uma função das seguintes características:

1. Desenho e eficácia operacional dos controles.2. Extensão da documentação dos controles e procedimentos.

3. Consciência dos funcionários acerca das atividades de controle pelas quais são responsáveis.

4. Monitoramento independente.


Ao desenvolver um plano para o projeto, a Equipe de Gerenciamento do Programa de Controles Internos pode utilizar uma ferramenta como o Modelo de Confiabilidade nos Controles Internos.


Esse modelo, que visualmente retrata o grau de confiabilidade dos controles internos, pode ser aplicado a qualquer unidade para a qual um plano esteja sendo criado (por exemplo, a companhia como um todo, uma unidade operacional ou uma subsidiária). Uma versão do Modelo de Confiabilidade nos Controles Internos foi desenhada para categorizar a confiabilidade dos controles internos em quatro estágios: (1) não-confiável, (2) insuficiente, (3) confiável e (4) excelente, com base nas características apresentadas na tabela.

Ao utilizar o Modelo de Confiabilidade nos Controles Internos, a equipe do projeto deve avaliar minuciosamente as características da unidade que está sendo avaliada e determinar o estágio que mais se assemelha ao status dos controles internos dessa unidade.

Se os controles internos forem classificados como não-confiáveis (Estágio 1) ou insuficientes (Estágio 2), provavelmente a estrutura de controles internos não é suficiente para suportar as exigências de certificação anual. Sob tais circunstâncias, recomendamos que a equipe do projeto comece a implementar imediatamente o plano do projeto. Se essa implementação demorar, pode ser que a companhia não esteja preparada para apresentar seu relatório anual acerca dos controles internos ou para atender às exigências de certificação do auditor independente.


Atingir o Estágio 3 significa que os controles internos de uma companhia são confiáveis, mas não determina o fim do processo. Ao contrário, é o Estágio 4 que representa o propósito da Lei Sarbanes-Oxley, por meio do qual a governança corporativa está vinculada a atividades de controle eficazes.

Além de fornecer informações úteis que a equipe do projeto pode utilizar ao desenvolver o seu plano de projeto, o Modelo de Confiabilidade nos Controles Internos pode servir para várias outras finalidades, incluindo:

� servir como um modelo comum para a discussão entre a administração e o auditor independente, em relação à confiabilidade dos controles internos da companhia, para a avaliação dos controles pela administração e certificação do auditor independente;

� fornecer uma descrição altamente visual sobre a confiabilidade dos controles internos da companhia para o Conselho de Administração e para Alta Administração executiva.


Obviamente, políticas e procedimentos expressos são importantes e exercerão um papel principal na eficácia de sua estrutura de controles internos. Na verdade, grande parte do sucesso ou do fracasso de um programa de controles internos pode depender da documentação escrita. Mas também são críticos os atributos menos tangíveis de cultura, conduta e atitude, coletivamente chamados de “Ambiente de Controle”. Contribuindo com o Ambiente de Controle encontram-se elementos como integridade, valores éticos e competência dos funcionários de sua companhia; filosofia e estilo operacional da administração; delegação de autoridade e responsabilidade; e atenção e direção fornecidas pelo Conselho de Administração. O Ambiente de Controle constitui a base para todos os demais componentes dos controles internos.

Para facilitar a compreensão do Ambiente de Controle, é recomendável a execução de uma avaliação cultural. Ao pesquisar a Alta Administração e os funcionários de toda a organização, é possível obter rapidamente uma compreensão sobre a atitude dessas pessoas acerca do compromisso da companhia em criar um ambiente de controle eficaz. Se os resultados da avaliação cultural sugerirem que a companhia não possui um ambiente de controle consistente, é necessário adotar medidas corretivas, como:

� comunicar a importância dos controles internos;� reforçar seu código de conduta e ética, bem como o programa de cumprimento de regras;

� restabelecer o apropriado jargão “o exemplo vem de cima”;� conduzir programas de treinamento e conscientização;� estabelecer canais para comunicação aberta (incluindo mecanismos que possibilitem a informação anônima).

Inversamente, se os resultados da avaliação cultural indicarem que a companhia possui um sólido ambiente de controle, ela terá uma base concreta sobre a qual construirá seu programa de controles internos.


O objetivo do processo de definição do escopo é identificar e inventariar os riscos de estoques relacionados com a divulgação e emissão de relatórios financeiros. Isso permitirá que a Equipe de Gerenciamento do Programa de Controles Internos concentre seus esforços na identificação ou no desenho de controles para direcionar esses riscos. (Observe que o foco dessa fase do projeto – riscos na emissão de relatórios financeiros e divulgação – é mais restrito do que a avaliação do risco em larga escala e de toda a empresa.)

Embora algumas companhias já possuam um programa formal ou informal de avaliação de riscos, o programa deve ser revisado pela equipe do projeto para assegurar que ele engloba o processo abrangente de identificação de todos os riscos financeiros e de divulgação.


A equipe do projeto deve começar o processo de definição do escopo pela identificação de todas as principais unidades operacionais, localidades e subsidiárias da companhia. Em seguida, deve entrevistar o pessoal da administração dessas unidades operacionais para identificar riscos na emissão de relatórios financeiros e na divulgação, que poderiam afetar de maneira adversa a capacidade da companhia de reportar com precisão dados financeiros e não financeiros, consistentes com o seguinte objetivo: “todos os valores e divulgações são precisos, completos, justos e pontuais”.


Durante o processo de entrevistas, a administração deve estar preparada para abordar os seguintes pontos, entre outros:

Riscos que podem impedir que a companhia alcance seus objetivos operacionais.Riscos na emissão de relatórios financeiros e nas divulgações, considerando o seguinte:

– principais processos e sistemas operacionais, incluindo aplicativos e processos terceirizados;– riscos e processos não sistemáticos (por exemplo, lançamentos no diário e responsabilidade por contratos);– padrões contábeis significativos;– regulamentações da SEC e do ramo de atividade;– exemplos de descumprimento de políticas e procedimentos da companhia;– questões fortemente relacionadas com avaliações que dependem do julgamento profissional;– sistemas e tecnologias de informação mais importante;– situações nas quais a administração pode desconsiderar os controles.www.CompanyWeb.com.br 121

A equipe do projeto deve então documentar e priorizar cada risco identificado na emissão de relatórios financeiros e na divulgação, pesando a importância relativa e a probabilidade de um efeito potencialmente adverso, sem levar em consideração a eficácia dos controles internos da companhia.

Fatores que devem ser considerados ao priorizar os riscos na emissão de relatórios financeiros e na divulgação incluem:

� risco relativo para a companhia;� materialidade das demonstrações financeiras;� probabilidade de ocorrência.

Com o passar do tempo, a companhia pode considerar a integração do processo de priorização de riscos na emissão de relatórios financeiros e na divulgação com um programa de avaliação de riscos em toda a companhia, que direcione todos os elementos da estrutura do COSO.


O repositório de controles servirá como uma central de informações e atividades relacionadas com os controles internos. Ele conterá a documentação sobre os objetivos de controle, o desenho e a implementação das atividades de controle, bem como os métodos para testar a eficácia dessas atividades. Será o banco de dados no qual trimestral e anualmente as avaliações da administração se basearão, conforme determinado pelas Seções 302 e 404.

Para desenvolver esse repositório de controles, é recomendável que sejam seguidas as seguintes etapas:

� Definir os principais objetivos de controle.� Mapear as atividades de controle existentes e compará-las com os objetivos de controle.

� Identificar áreas em que os controles necessários estão ausentes e corrigi-las.


Definir os principais objetivos de controle

Como resultado do processo de definição do escopo, deve ser produzido um inventário dos principais riscos na emissão de relatórios financeiros e na divulgação.

A Equipe de Gerenciamento do Programa de Controles Internos deve trabalhar sistematicamente os riscos, a fim de definir os principais objetivos de controle. É aconselhável que, em primeiro lugar, a equipe focalize os riscos que foram considerados “prioridade máxima” e prossiga seu trabalho abrangendo as outras categorias em etapas sucessivas, de acordo com a necessidade do seu ambiente.


Definir os principais objetivos de controleUm objetivo de controle descreve as metas que a administração procura atingir. Na área de emissão de relatórios financeiros, alguns exemplos de objetivos gerais de controle incluem:

1. Autorização: as transações são executadas de acordo com autorização geral ou específica da administração.

2. Registro: todas as transações autorizadas são registradas pelos valores corretos, no período correto e na conta apropriada, a fim de permitir a preparação das demonstrações financeiras de acordo com os princípios contábeis geralmente aceitos.

3. Salvaguarda: a responsabilidade pela custódia física dos ativos é designada a pessoas específicas e independentes das funções de manutenção dos registros.

4. Reconciliação: ativos registrados são comparados com ativos existentes em intervalos razoáveis e são tomadas ações apropriadas em relação a quaisquer diferenças verificadas.

Exemplos de objetivos de controle “acionáveis” incluem:

� Processo de Gerenciamento de Pedidos: pedidos de venda somente são processados dentro dos limites de crédito aprovados para o cliente.

� Processo de Compra: os valores lançados nas contas a pagar representam bens adquiridos.


Mapear as atividades de controle existentes ecompará-las com os objetivos de controleAs atividades de controle são políticas e procedimentos que ajudam a companhia a atingir determinados objetivos de controle. Elas devem ser incorporadas nas operações do negócio e utilizadas para reduzir, a níveis razoáveis, os riscos na emissão de relatórios financeiros e na divulgação.

Exemplos de atividades de controle incluem:

1. Aprovações, autorizações e verificações.2. Gerenciamento funcional direto ou gerenciamento de atividades.3. Revisão dos indicadores de desempenho.4. Segurança de ativos.5. Segregação de funções.6. Controles dos sistemas de informática.


Mapear as atividades de controle existentes ecompará-las com os objetivos de controle

O objetivo dessa etapa é fazer um inventário das atividades de controle existentes que são praticadas na organização e compará-las com a lista abrangente de objetivos de controle desenvolvida na etapa anterior.


Identificar áreas em que os controles necessáriossão inexistentes e corrigir o problema

Após comparar todas as atividades de controle existentes com os objetivos de controle, é provável que haja objetivos para os quais não existem atividades de controle correspondentes. Essas falhas devem ser identificadas e documentadas para correção.

Ou, de modo inverso, é possível haver atividades de controle identificadas que não podem ser comparadas com um objetivo. Nesse contexto, elas poderiam ser atividades de controle desnecessárias e, portanto, podem ser eliminadas, ou, ainda, o indício de que um objetivo de controle necessário não foi identificado.

Todas as falhas descritas anteriormente devem ser corrigidas através de um processo sistemático, começando pelos objetivos de controle de prioridade máxima, até que todos os objetivos de controle significativos tenham atividades de controle para direcioná-los.


Depois de ter desenvolvido o repositório de controles, a eficácia operacional das atividades de controle deve ser avaliada. Essa avaliação pode ser executada por pessoas responsáveis pelo desempenho dos controles, pela administração da companhia ou pela Equipe de Gerenciamento do Programa de Controles Internos. Os objetivos dessas atividades iniciais de teste são:

Assegurar que as atividades de controle estão operando de forma apropriada.Fornecer informações para suportar medidas corretivas posteriores quando os testes das atividades revelarem deficiências nos controles internos.Desenvolver um programa de testes sustentável que forneça suporte para as avaliações trimestrais e anuais da administração.


Com a finalidade de fornecer suporte para a avaliação trimestral e anual dos controles internos, deve ser conduzida uma análise da estrutura desses controles, visando assegurar que não ocorreram mudanças significativas desde o último período de avaliação. Caso sejam verificados processos operacionais ou mudanças organizacionais (por exemplo, uma aquisição), seránecessário repetir as etapas anteriores para modificar a estrutura de controles internos e direcionar essas mudanças.

As pessoas responsáveis pelas atividades de controle devem avaliar sua eficácia como parte do processo formal de auto-avaliação dos controles internos. Para tanto, é recomendável que a eficácia operacional das atividades de controle individuais seja testada e que a documentação apropriada seja retida, de maneira que possa ser revisada pelos auditores independentes como parte de seus procedimentos para o trabalho de certificação.


Para muitas companhias, a função de auditoria interna desempenhará um importante papel no monitoramento e na emissão de relatórios sobre a eficácia da estrutura dos controles internos. As companhias que não possuem uma função de auditoria interna podem avaliar a utilização da Equipe de Gerenciamento do Programa de Controles Internos para executar essas tarefas.

As atividades de monitoramento que devem ser executadas incluem:

� avaliação independente da pertinência dos dados contidos no repositório de controles;

� verificação das atividades de testes, ou seja, se elas são completas, precisas e pontuais;

� confirmação de que as pessoas que avaliaram as atividades de controle o fizeram de modo pontual e com a compreensão total e completa das implicações decorrentes desse tipo de confirmação;

� comprovação de que a documentação completa e precisa é mantida.


As ferramentas podem auxiliar em inúmeras tarefas, como desenho de controles, documentação de controles, análise e correção de falhas nos controles, aperfeiçoamento de divulgações, gerenciamento de riscos, documentação de revisões e assinaturas e fornecimento de relatórios administrativos aperfeiçoados.



http://www.teamproject.com.br/tp2/documents/747


Não Identificaçãodo Risco

Ocorrênciado evento

Materializaçãodo Risco

Exposiçãoao Risco

Identificaçãodo Risco

Análise/Avaliaçãodo Risco

Respostaao Risco

RiscoMitigado

137

Definição de Risco (segundo COSO 2):

A possibilidade de que um evento ocorra e afete desfavoravelmente a realização dos objetivos.

Evento:

Incidente ou ocorrência, a partir de fontes internas ou externas a um entidade (uma organização ou empresa), capaz de afetar a realização dos objetivos.

Oportunidade:

A possibilidade que um evento ocorrerá e afetará favoravelmente a realização dos objetivos


138

Evento: Riscos e Oportunidades:

Os eventos podem gerar impacto tanto negativo quanto positivo ou ambos. Os que geram impacto negativo representam riscos que podem impedir a criação de valor ou mesmo destruir o valor existente. Os de impacto positivo podem contrabalançar os de impacto negativo ou podem representar oportunidades, que por sua vez representam a possibilidade de um evento ocorrer e influenciar favoravelmente a realização dos objetivos, apoiando a criação ou a preservação de valor. A direção da organização canaliza as oportunidades para seus processos de elaboração de estratégias ou objetivos, formulando planos que visam ao aproveitamento destes.

Infra-estrutura:Disponibilidade de bensCapacidade dos bensAcesso ao capitalComplexidadePessoal:Capacidade dos empregadosAtividade fraudulentaSaúde e segurançaProcesso:CapacidadeDesignExecuçãoDependências / fornecedores

Tecnologia:Integridade de dadosDisponibilidade de dados Disponibilidade de sistemasSeleção de sistemasDesenvolvimentoAlocaçãoManutenção

Eve

ntos

Inte

rnos

Econômicos:Disponibilidade de capitalEmissões de crédito, inadimplênciaConcentraçãoLiquidezMercados financeirosDesempregoConcorrênciaFusões / aquisiçõesMeio Ambiente:Emissões e dejetosEnergiaDesastres naturaisDesenvolvimento sustentável

Políticos:Mudanças de governoLegislaçãoPolítica públicaRegulamentosSociais:Características demográficasComportamento do consumidorPrivacidadeTerrorismoTecnológicos:InterrupçõesComércio eletrônicoDados externosTecnologias emergentesE

vent

os E

xter

nos

Categorias dos Eventos:



139

Tipos de Riscos:Risco de mercado:O Risco de Mercado é de fácil entendimento pois está relacionado com a variação do valor dos ativos (bens, serviços, índices, commodities). É o risco de ganhar ou perder quantia financeiros pela simples mudança dos preços dos ativos no mercado financeiro. Por exemplo:Considere que uma pessoa (um investidor) que comprou 1000 ações preferenciais da Petrobrás ao preço unitário de R$ 75,00 desembolsando R$ 75.000,00. Quanto esta carteira valerá ao final do dia de amanhã, decorrente das alterações no valor desta ação ? Como o valor dos ativos negociados é determinado pelo mercado, a incerteza em relação ao valor futuro do ativo (cuja oscilação pode representar perdas ou ganhos) é o que caracteriza então o Risco de Mercado .

Risco de crédito:Risco de crédito se refere a uma possível incapacidade da instituição financeira, responsável pela emissão de ativos financeiros usados em investimentos, de honrar seus compromissos financeiros assumidos com os investidores. Essa situação pode ser causada por problemas financeiros oriundos de uma má administração ou gestão, dificuldades com planos econômicos, etc.

Risco Legal/ComplianceFraquezas à mostra1

Ao cumprir a seção 404 da Lei Sarbanes-Oxley, Telemar e Copel revelam fragilidades nos

controles de seus balanços.Nota:1 Revista Capital Aberto edição 48

139

140

Definição de Risco Operacional (segundo Jorion, 1998):São perdas potenciais resultantes de sistemas inadequados, má administração, controles defeituosos ou falha humana, a qual inclui o risco de execução, correspondente a situações em que as operações não são executadas, resultando em atrasos ou penalidades; o risco de execução relaciona-se a qualquer problema nas operações de back-office, relativas ao registro de transações e reconciliações de operações.Também incluem fraude e a necessidade de proteger os sistemas contra acesso não autorizado e violações.Exemplos: Falhas de sistemas, prejuízos decorrente de desastre naturais ou acidentes

Definição de Risco Operacional (segundo Chouhy, 1998):É o risco de eventos externos, ou deficiências de controles internos e sistema de informação, resultarem em perdas, estando associado ao erro humanos, falhas em sistemas e procedimentos e controles inadequados.

Risco Operacional (RO):Risco Operacional é o risco associado à operação de uma empresa.

Exemplo de Risco Operacional (classes ou sub-tipos):- Risco de reputação;- Risco de Liquidação;- Risco Humano;- Risco de Controle Interno Inadequado ou falto de controle;- Risco Tecnologia Inadequada ou Insuficiente;- Risco Sistêmico;- Risco de Imagem;- Risco de Fraude.


141

Risco é determinado pela intencionalidade

Risco é constante

Oportunidades são perseguidas impulsivamente

Oportunidades são quantificadas em termos de risco e retorno

Somente a Auditoria é responsável Alta gestão (CEO) são os principais responsáveis

Controles precisam focalizar riscos financeiros e resultados somente

Controles precisam focalizar riscos do negócio de todo tipo

Foco nas ações corretivas Foco nas ações preventivas

As pessoas são as fontes primárias de risco

Os processos são a fonte primárias de riscos.

DE PARAVelho Paradigma Novo Paradigma


142

DE PARA

Monitoramento de Risco é função dos auditores internos

Monitoramento de risco é atividade do CEO

Risco é um fator negativo a ser controlado Risco é uma oportunidade

Os risco são gerenciadosseparadamente

O gerenciamento de risco é integradoe corporativo

Responsabilidade pelo gestão de risco é delegada a níveis inferiores

Gestão de risco é responsabilidade de um gerente de linha sênior

Mensuração do risco é subjetiva Risco é quantificado

Funções de gerenciamento de riscossão desestruturadas e divergentes

Gestão de riscos é construído dentro do sistema de gerenciamento corporativo

Velho Paradigma Novo Paradigma


De velhos Paradigmas Para novos Paradigmas

Avaliação de riscos é eventualAvaliação de riscos é uma atividade continua

Auditoria interna é responsável por verificar controles e riscos

Todos devem aplicar o gerenciamento de riscos

O gerenciamento de riscos é departamental

Avaliação e controle de riscos possuem metodologia corporativa

Controles com foco em riscos financeiros

Controles com foco em garantir a sustentabilidade do negócio

Inspecionar, detectar e reagir aos riscos

Monitorar controles em um processo contínuo


144

Gestão de Risco

Definição:Gerenciamento de Risco é um processo sistemático que tem como objetivo identificação, análise, resposta (plano de ação), comunicação, monitoramento de riscos.

Framework:


145

Gestão de Risco

Identificaro risco

Comunicaro risco

Analisaro risco

respondero risco ?

(Resposta) Elaborar Plano de Ação

ImplementarPlano de Ação

Monitorar

Macro fluxo das atividades:

Monitoramentocontínuo ?

fim

inicio

sim

não

sim

não

146

Todos os 5 componentes devem estar

implementados para um controle efetivo


A estrutura do COSO divide os controles internos eficazes em cinco componentes inter-relacionados, com o objetivo de simplificar a tarefa da administração para gerenciar e supervisionar todas as atividades que fazem parte de uma estrutura de controles internos bem-sucedida.


148

Controlescontábeisinternos

Requisitos de divulgação

Relatório financeiro

ConformidadeOperações

Controles internos sobre relatório financeiro

Controles e procedimentos de divulgação

Controles internos sobre requisitos de divulgação

LEGENDA


149

Atividades de Controle

• Políticas/procedimentos que asseguram que as diretivas administrativas estão sendo cumpridas.

• Conjunto de atividades incluindo aprovações, autorizações, verificações, recomendações, revisão de performance, segurança de ativos e segregação de responsabilidades

Monitoramento

• Avaliação da performance do sistema de controle além do tempo esperado.

• Combinação de contínuas e separadas avaliações.

• Gerência e supervisão das atividades.

• Atividades de auditoria interna.

Ambiente de controle

• Define o tom da consciência de controles da organização para suas pessoas.

• Fatores que incluem integridade, valores éticos, competência, autoridade e responsabilidades.

• Fundamentos para todos os outros componentes de controle.

Comunicação e informação

• Identificação de informação pertinente, capturada e comunicada em tempo hábil.

• Acesso a informação gerada internamente e externamente

• Fluxo das informações que permitam ações de controles de sucesso a partir de instruções que visam responsabilidades de resumo das descobertas para ação da gerência

Avaliação de riscos

• A avaliação de risco é a identificação e análise de riscos relevantes para atingir os objetivos formais da entidade que são bases para determinação das atividades de controle.

Todos os cinco componentes devem estar adequados para o controle ser efetivo.

Monitoramento

• Avaliação da performance do sistema de controle.

• Combinação de contínuas e separadas avaliações.

• Gerência e supervisão das atividades.

• Atividades de auditoria interna.

Informação & Comunicação

• Identificação de informação pertinente, capturada e comunicada em tempo hábil.

• Acesso a informação gerada internamente e externamente

• Fluxo das informações que permitam ações de controles de sucesso a partir de instruções que visam responsabilidades de resumo das descobertas para ação da gerência


A estrutura do COSO divide os controles internos eficazes em cinco componentes inter-relacionados, com o objetivo de simplificar a tarefa da administração para gerenciar e supervisionar todas as atividades que fazem parte de uma estrutura de controles internos bem-sucedida.


152

� As limitações originam-se do fato de que o julgamento humano, no processo decisório, pode ser falho, as decisões de respostas a risco e o estabelecimento de controle interno necessitam levar em conta a relação custos x benefícios.

� Podem ocorrer falhas causadas por erro ou falha humana, os controles podem ser anulados por conluio entre duas ou mais pessoas, e a administração tem o poder de recusar-se a aceitar as decisões de gestão de riscos.

� Essas limitações impedem que o Conselho de Administração e a diretoria executiva tenham absoluta garantia da realização dos objetivos da organização.



SOC - Service Organization Control Reports

155

• O SOC - Service Organization Control Reports: Relatórios de controles aplicáveis a prestadores de serviços.

• é um padrão de auditoria reconhecido internacionalmente desenvolvido pelo American Institute of Certified Public Accountants (AICPA).

• Permite que prestadores de serviços obtenham segurança independente sobre seus objetivos e processo de controle.

• Permite que um auditor independente emita parecer sobre os controles de uma organização de serviços.



Fonte: http://pt.wikipedia.org/wiki/Instituto_Americano_de_Contadores_P%C3%BAblicos_Certificados

�O American Institute of Certified Public Accountants (AICPA) — Instituto Americano de Contadores Públicos Certificados — é a associação profissional nacional dos CPAs (Certified Public Accountants -Contadores Públicos Certificados) dos Estados Unidos, com mais de 330.000 membros, incluindo CPAscom atuação em negócios, indústria, governo e educação, estudantes e associados estrangeiros. O instituto estabelece padrões éticos para os profissionais e normas de auditoria para companhias privadas, governos federal, estaduais e locais e organizações sem fins lucrativos.

�Aproximadamente 40% de seus membros lidam com a Contabilidade Pública, em áreas como auditoria, contabilidade, tributos, consultoria, avaliação de negócios, planejamento financeiro pessoal e tecnologia de negócios. A maioria (60%) de seus membros trabalha na indústria, governo e educação. No entanto, devido ao importante papel que o AICPA desempenha na auto-regulação da maioria das práticas dos contadores públicos, grande parte de seus recursos são dedicados a esta atividade, bem como a programas ligados à manutenção das competências profissionais dos CPAs.

�A principal tarefa do AICPA é promover e elevar a profissão contábil. Para cumprir com estes objetivos, possui várias funções, que incluem: prover benefícios a seus membros, preparar para o Exame Uniforme de CPA, desenvolver padrões profissionais para os CPAs, prover suporte técnico para seus membros em diversas áreas, operar programas de relações públicas da profissão, prover suporte para a comunidade acadêmica e representar a profissão diante do Congresso e agências federais americanas.

O relatório SOC1, também conhecido como SSAE 16, que SUBSTITUIU o relatório SAS 70, aborda especificamente os controles internos do prestador de serviços relevantes para as demonstrações financeiras dos seus clientes e visa estabelecer basicamente uma comunicação entre os auditores das empresa prestadoras de serviços e das suas empresas clientes. Apesar do surgimento de novos riscos e necessidades, o relatório SOC1 é essencialmente o relatório SSAE 16.

Por outro lado, o relatório SOC2 fornece opções que abordam outros controles, além dos relevantes para elaboração das demonstrações financeiras. Ele cobre aspectos de TI de interesse primordial para os prestadores de serviços e seus clientes, como privacidade, disponibilidade, confidencialidade, integridade no processamento e segurança.

O relatório SOC3 apresenta informações sobre aspectos de segurança, privacidade, disponibilidade, confidencialidade e integridade no processamento, de acordo com os Trust Services Principles andCriteria estabelecidos pela AICPA e pelo Canidian Institute of Chartered Accountants (CICA). Os relatórios SOC 3 podem estar associados a marcas registradas desses institutos denominadas SysTrust® e WebTrust®.

É importante observar que as designações SOC1, SOC2 e SOC 3 não criaram nada de novo. Elas tratam efetivamente de relatórios elaborados segundo normas do AICPA com escopo e utilização definidos. Essas designações ajudam o prestador de serviços e seus clientes identificarem qual o escopo e o objetivo de um determinado relatório, ou seja, elas ajudam a eliminar a ideia de que a norma SAS 70 (substituída pelas Normas SSAE 16 e ISAE 3402) era uma solução que se aplicava às diferentes necessidades de controles enfrentadas pelas empresas.


� Em Jun/11 o relatório SAS (Statement on Auditing Standards) 70 foi substituído pelo SSAE 16 e ISAE 3402� SOC - Service Organization Control Reports: Relatórios de controles aplicáveis a prestadores de serviços.


Fonte: PwC

159

Planejamento da Auditoria

Fase 1

Planejamento da Auditoria

Esta é uma fase chave para o sucesso da auditoria SOC. Ela compreende o trabalho conjunto com a administração da organização de serviços para planejar os detalhes do projeto incluindo a definição do seu cronograma e a identificação de responsáveis pelos assuntos tratados no do projeto.

Emissão e Revisão do Relatório Minuta

Fase 4

Emissão e Revisão do Relatório Minuta

Após a conclusão dos trabalhos de campo, será iniciada a preparação da minuta do relatório. Durante esse processo, serão fornecidas cópias da versão minuta do relatório para a administração e solicitadas a sua revisão sobre o conteúdo apresentado. Quando aplicável, serão discutidas com a administração as exceções identificadas nas avaliações dos controles para assegurar que o nosso entendimento e descrição dos fatos está correta.

Emissão do Relatório Final

Fase 5

Emissão do Relatório Final

Com o comprometimento da administração com as revisões do relatório minuta, será concluído e entregue o relatório SOC final de acordo com o planejamento. Adicionalmente, como valor agregado, serão documentadas e apresentadas a administração da organização de serviços eventuais recomendações de aprimoramento dos controles que forem identificadas durante a auditoria.

Diagnóstico da Situação Atual

Fase 2

Diagnóstico da Situação Atual

Será realizado levantamento sobre os controles da administração e controles existentes na operação dos serviços, no que tange ao conteúdo da documentação existente e a definição de responsabilidades pelos controles. Caso a organização já possua um relatório SOC, nessa fase será realizada a atualização das informações reportadas no último relatório.

Fase 3

Execução dos Trabalhos de Campo

Compreende os controles das atividades relativas a operação dos serviços, bem como os controles da administração da companhia. O time de auditoria SOC irá executar levantamento, revisão e, em se tratando do SOC tipo II, testes dos controles por meio de entrevistas, observações, exames e reexecuções. Para essa fase será enviado um pedido de análise elaborado na fase de Diagnóstico, contendo as solicitações necessárias para execução das atividades.

Execução dos Trabalhos de campo


161

Suporte para Gerenciamento do Projeto

Iniciar Projeto e Avaliação de Risco

Iniciar Projeto e Avaliação de Risco

Documentar e Avaliar o Desenho do Controle

Documentar e Avaliar o Desenho do Controle

Preparar Relatório de Controles Internos Sobre osRelatóriosFinanceiros

Preparar Relatório de Controles Internos Sobre osRelatóriosFinanceiros

CorreçãoCorreçãoTeste a Eficácia Operacional

Teste a Eficácia Operacional

Auditar eReportar

Auditar eReportar

Administração Auditor

Melhoria ContínuaMelhoria Contínua

• Equipe do Projeto• Treinamento• Definir escopo:

• Itens das Demonstrações financeiras e não-financeiras

• Ciclos• Unidades de Negócio

• Plano de Comunicação

• Documentação Padrão e Modelo• Relatórios de Exceção manuais• Inventário da documentação

existente• Avaliar “desenho de controles” –

análise de intervalos (gap)

• Execute um plano para corrigir esforços

• Documentação Padrão e Modelo• Requisitos para documentação de testes (ex., quem,

o que, onde, quando, com que freqüência)• Tamanho de amostras para testes• Identificação e solução manual das exceções• Identificação dos controles chave• Determine o tipo da avaliação a ser realizada

(indagação, exame, observação e/ou re-execução)

• Baseado no desenho e avaliação da eficácia, documente as afirmações sobre o reporte financeiro

• Revise a documentação suporte 404 do cliente para reporte da administração acerca do controleinterno sobre os relatórios financeiros

• Desenhe testes para os procedimentos de controle chave do cliente

• Execute teste e avaliação dos resultados

• Objetivos de Auditoria Integrada

• Responsabilidade dos Auditores


• Expressar opinião sobre as demonstrações financeiras.

• Expressar duas opiniões sobre o controle interno do reporte financeiro que requerem:– Opinar sobre a avaliação da administração acerca da eficácia do controle interno sobre o reporte financeiro.

– Opinar sobre a eficácia do controle interno sobre o reporte financeiro.


164

1. Planejar a auditoria

2. Analisar o processo de avaliação da administração

3. Obter um entendimento dos controles internos sobre o reporte financeiro

4. Avaliar a eficácia do desenho do controle (design)

5. Testar e avaliar a eficácia operacional dos controles

6. Utilizar trabalhos realizados por outros

7. Avaliar as deficiências e formar uma opinião sobre a eficácia dos controles internos sobre o reporte financeiro


1. Familiarizar-se com a Seção 302 da Lei Sarbanes-Oxley

2. Familiarizar-se com a Seção 404 da Lei Sarbanes-Oxley

3. Executar a Avaliação Informal da Situação da Companhia

4. Compromissos do Diretor Executivo e do Diretor Financeiro com a Tarefa de Cumprimento das Regras

5. Criar um Comitê Diretor de Trabalho

6. Familiarizar-se com as Estruturas de Controles Internos

7. Selecionar a Estrutura de Controles Internos

8. Criar um Comitê de Divulgação

9. Estabelecer um Programa de Controles Internos

10. Planejar o Programa

11. Formar uma Equipe de Gerenciamento do Programa de Controles Internos

12. Avaliar o Ambiente de Controle

13. Definir o Escopo

14. Construir um Repositório de Controles

15. Definir os Principais Objetivos de Controle

16. Mapear as Atividades de Controle Existentes e Compará-las com os Objetivos de Controle

17. Identificar as Deficiências dos Controles e Corrigi-las

18. Executar Testes Iniciais e Contínuos

19. Monitorar

20. Propiciar Tecnologias para Atingir Resultados


• Como funciona nossa estrutura de controle ?

• Quem é responsável por ela?

• Como ela trata as mudanças?

• Quais são as atividades críticas de controle?

• Elas são monitoradas?

• Tudo isso é documentado?

• Como demonstro que examinei os controles todos os trimestres?


167

Processos:MelhoresPráticas

Pessoas:Capacitaçãoe Motivação

Produtos:Tecnologia eferramentas

A Integração de Pessoas, Processos e Produtos (Tecnologia & ferramentas) e bom Plano de Comunicação aumentam a chance de sucesso da Gestão de Risco.


Os custos financeiros para o cumprimento das regras serão consideráveis (mas deve-se observar que não serão tão altos quanto os custos provocados pelo descumprimento delas).


� A maior parte das companhias de capital aberto já possui algum tipo de estrutura de controles internos em vigor. É possível que as organizações não precisem comprar sistemas totalmente novos ou desenvolver novos processos, podendo adaptar os recursos já existentes e integrá-los à nova estrutura de controles internos.

Custos diretos podem incluir o tempo dispensado por consultores e funcionários para avaliação, implementação e monitoramento;

instrução de funcionários acerca dos controles internos;

despesas com a nova tecnologia para suportar o programa de controles internos;

e honorários pagos aos auditores independentes para executar os testes dos controles que visam atestar sua asserção quanto à eficácia de seus controles internos. Custos indiretos podem incluir o remanejamento de pessoal e o realinhamento de outros recursos na organização para criar e manter uma melhor estrutura de controles internos.


Os benefícios podem exceder o simples cumprimento da Lei Sarbanes-Oxley. Na verdade, uma forte estrutura de controles internos pode ajudar sua companhia a:� tomar melhores decisões operacionais e

obter informações mais pontuais;� conquistar (ou reconquistar) a confiança

dos investidores;� evitar a evasão de recursos;� cumprir leis e regulamentos aplicáveis;� obter vantagem competitiva através de

operações dinâmicas.

Inversamente, as companhias que se negam a instituir os controles exigidos podem se colocar em situações similares àquelas que levaram à promulgação da Lei Sarbanes-Oxley, o que acarretará:� maior exposição à fraude;� penalidades impostas pela SEC;� publicidade desfavorável;� impacto negativo sobre o valor do

acionista;� queixas ou outras ações judiciais

impetradas por acionistas.

Seção I. Planejamento e Determinação do Escopo

Seção II. Documentação e Avaliação do Desenho e da Eficácia Operacional dos Controles

Seção III. Identificação, Avaliação e Correção das Deficiências

Seção IV. Certificação dos Controles Internos


A seguir, apresentamos respostas às perguntas mais comuns que normalmente surgem durante as seguintes etapas do processo de avaliação dos controles internos:

Independentemente da complexidade e do tamanho da estrutura de controle de uma organização, a avaliação da eficácia do ICOFR requer um cuidadoso planejamento. Esse planejamento deve incluir um processo para examinar o enfoque global estabelecido para a documentação, a identificação dos controles internos e os testes aplicados para a sua avaliação e o cronograma geral das atividades, incluindo as datas de conclusão de cada etapa deste projeto. Tal planejamento também pode incluir o estabelecimento de políticas e procedimento para o processo de avaliação e para o processo de comunicação interna. A seguir, alguns pontos específicos que talvez tenham de ser abordados:



1 - A administração deve documentar o ICOFR para todas as localidades e unidades de negócio?

2 - De que forma a Administração determina quais os controles a serem testados para avaliação da sua eficácia operacional?

3 - Pode-se utilizar uma outra estrutura de controles internos que não a do COSO?

4 - O que vem a ser o conceito de Gerenciamento de Riscos Corporativos (Enterprise Risk Management) - ERM? Esse conceito substitui a atual estrutura do COSO?

5 - Quais sistemas ou aplicativos de Tecnologia da Informação (TI) são incluídos no escopo da documentação e dos testes em relação ao ICOFR?

6 - Muitas organizações terceirizam alguns processos, atividades ou funções, tais como a folha de pagamento, que podem ser incluídas no escopo da SOX 404. De que forma controles executados por terceiros e em instalações fora da Empresa afetam o ICOFR? E o mais importante, como a administração avalia e documenta a eficácia operacional dos controles nessas prestadoras de serviços?

7 - Quão recente deve ser um relatório SOC (que substitui o SAS 70 Tipo II) de terceiros que prestam serviços, para que se possa depositar confiança nele?

8 - Em que extensão os aspectos relacionados aos impostos devem ser incluídos no processo de avaliação dos controles internos pela administração?

9 - Como devem ser tratadas as empresas adquiridas e as vendidas no exercício corrente? Em relação às aquisições

10 - Quando uma empresa se propõe a fazer uma emissão inicial de ações (IPO), deveria essa empresa incluir, no relatório de registro inicial (Form S-1), uma avaliação da administração sobre a efetividade do ICOFR e um correspondente parecer do auditor sobre o controle interno (Audit of ICOFR)?

11 - Em que extensão seria apropriada uma discussão da administração com o auditor independente da empresa sobre o processo de contabilização e de elaboração dos relatórios financeiros da empresa?

A documentação e avaliação do ICOFR é parte essencial do processo de avaliação da administração. Fornece evidência de que os controles, que fazem parte do processo de avaliação da administração, foram identificados e devidamente comunicados aos que respondem pela sua execução e de que podem ser monitorados. Adicionalmente, os resultados da avaliação da administração quanto ao desenho e à eficácia operacional dos controles devem ser documentados. A seguir, alguns exemplos de questões que podem emergir durante essa etapa:



12 - A administração deve testar e avaliar todos os controles

identificados durante o processo de documentação do ICOFR?

13 - Quais controles são considerados como controles

corporativos e como devem ser avaliados?

14 - Como a administração determina que o desenho de um

controle é adequado?

15 - Ao testar a eficácia operacional, qual é o volume de testes que a administração deve

executar? Que tamanho de amostra para teste deve ser

aplicado?

16 - Um auditor independente faz distinção entre testes efetuados pela auditoria interna e testes efetuados pela administração?

17 - Muitas organizações têm sistemas e aplicativos de TI que foram

instalados em anos anteriores. A administração precisa testar o

desenho e a eficácia operacional dos controles gerais de TI relacionados ao

desenvolvimento de programas daqueles sistemas e aplicativos?

18 - A SOX 404 exige controles adicionais no caso de relatórios

mais simplificados de ERP, planilhas eletrônicas e outros tipos de sistemas utilizados por usuários

finais?

19 - Que controles devem ser testados no processo de

fechamento dos relatórios financeiros?

20 - Como pode a administração julgar se os controles corporativos estão operando adequadamente?

A administração deve estabelecer um processo pelo qual todas as deficiências de um ICOFR por toda a empresa, sejam identificadas e agregadas. Isso ajudará a administração na conclusão de sua avaliação da efetividade do ICOFR, através da avaliação da gravidade de todas as deficiências identificadas.



21 - Pode existir uma fraqueza material (material weakness) no ICOFR quando inexiste ou não foi

identificado um erro material nas demonstrações financeiras?

22 - Se a administração substitui ou remedia um controle deficiente, por

quanto tempo deveria o novo controle operar e qual volume de testes deveria ser executado pela administração para determinar se esse novo controle está operando

eficazmente?

23 - Um conjunto de múltiplas deficiências significativas (significant deficiencies)

automaticamente se transforma em uma fraqueza material

(material weakness) no ICOFR?

24 - Há orientações gerais que tenham sido desenvolvidas para definir o conceito de “mais do que irrelevante” (more than

inconsequential) na identificação das deficiências significativas

(significant deficiencies)?

25 - Como a administração pode identificar controles

relacionados com a salvaguarda de ativos? Como são avaliadas as deficiências?

A administração deve incluir sua avaliação sobre a eficácia do ICOFR no relatório anual da empresa. O relatório da certificação da administração sobre o ICOFR deve incluir:

– Uma declaração da responsabilidade da administração pelo estabelecimento e pela manutenção de um adequado ICOFR para a empresa;

– Uma declaração identificando a estrutura de controle interno - por exemplo, COSO - utilizada pela administração para conduzir a avaliação da eficácia do ICOFR;

– Uma avaliação sobre a eficácia do ICOFR da empresa na data do encerramento do exercício social da empresa, incluindo uma declaração explícita se o ICOFR é eficaz ou não;

– Uma declaração de que a auditoria independente, que auditou as demonstrações financeiras inseridas no relatório anual, emitiu um relatório de certificação sobre a avaliação do ICOFR feita pela administração.


26 - Muitas empresas fornecem a seus auditores independentes um rascunho das demonstrações financeiras para revisão antes de submetê-las a aprovações finais. De que forma a empresa pode demonstrar ao auditor que detectaria um erro no rascunho das demonstrações financeiras, que resultaria em fraqueza material (material weakness) ou deficiência significativa (significant deficiency)?


180

Entender qual é o impacto do SOX na TI


181


Serviços de TIBanco de Dados

Sistema Operacional

Rede

Aplicações

ERP BI Outras

Processos

Processo A Processo B Processo C

Declarações Financeiras

Balanço Demonstrativode resultado

Demonstrativodo Fluxo de Caixa

Controles:

Para atender o SOX, a TI deverá atuar da seguinte forma:

Estabelecer controle para o ambiente geral de TI que abrangem:- Desenvolvimento;- Mudanças;- Operações e- Controle de Acesso.

Seção 404: Controle InternosA Gestão deve ter responsabilidade em estabelecer, manter e analisar a estrutura dos controle internos e fazer avaliação de eficiência dos processos

TI

Uni

dade

de

Neg

ócio


182


Para atender o SOX, a TI deverá atuar da seguinte forma:(continuação...)

Processos de negócios críticos (contas significativos de balanço):- Mapear as aplicações que suportam as informações financeiras e respectivos controles- Identificar os riscos de TI relacionados as aplicações- Implantar e monitorar controles que mitiguem os riscos- Documentar e testar os controles de TI- Assegurar que os controles de TI sejam atualizados e adequados para suportar as mudanças nos controles internos.


183

Mapeamento dos controles do PCAOB e o Cobit, atrelados aos processos de TI.


184

Processo Cobit

Processo TI / Objetivo de Controle para SOX

Comentários

AI2Aquisição e manutenção de sistemas aplicativos (software) Prover funções automatizadas que efetivamente suportem o negócio

AI3Aquisição e manutenção de tecnologia de infra-estrutura Fornecer plataformas apropriadas para sustentar os aplicativos de negócios

P04 Definição da organização de TI e relacionamentos A adequada entrega dos serviços de TI é permitida por uma empresa que tem papéis definidos

e comunicados, responsáveis identificados (em número e habilidades), e por estar alinhada com o negócio, facilita a implementação das estratégias, e fornece controles adequados

AI7 Instalação e homologação de soluções e mudanças

Os novos sistemas precisam entrar em operação depois de concluído o processo de desenvolvimento. Isso exige os devidos testes em um ambiente apropriado com informações relevantes sobre os testes, definição do processo de implementação e instruções específicas sobre migração, planejamento de novas versões, encaminhamento para a produção e revisão pós-implementação para garantir sistemas operacionais alinhados com as expectativas acordadas e resultados desejados

AI6 Gerenciar Mudanças Tem por objetivo minimizar a probabilidade de ocorrência de erros decorrentes das alterações efetuadas. Isto é habilitado pelo gerenciamento de sistemas que garantam a análise das implementações, revisão de todas as mudanças solicitadas, e acompanhamento da operação da infra-estrutura de TI

DS1 Definir e Gerenciar Níveis de Serviço

Estabelecer entendimento comum sobre os níveis de serviços requeridos pelo negócio e acordos específicos (Service Level Agreements - SLA´s) que formalizam os critérios de desempenho e os níveis de qualidade de serviços

DS2 Gerenciar serviços de terceiros Assegurar que os papéis e responsabilidades dos prestadores de serviço estão definidos e aderentes aos requisitos de satisfação estabelecidos pela empresa. Isto é habilitado por procedimentos de controle direcionados a revisar e monitorar os acordos e procedimentos de adequação às políticas empresariais

SOX Seção 404


185

SOX Seção 404

Processo Cobit


Comentários

DS5 Garantir a Segurança dos Sistemas

Garantir a salvaguarda das informações, divulgações, destruição, modificação, perda e uso não autorizado. A segurança é habilitada por controles para garantir que somente usuários autorizados obtenham acesso aos sistemas, programas e as informações classificadas como restritas

DS9 Gerenciar a Configuração Garantir o controle sobre os componentes de TI, prevenir alterações não autorizadas, inventariar e fornecer base para a gestão de mudanças. Isto é habilitado por controles que identificam e registram os ativos de TI, sua localização física e programas de verificação regulares para confirmar a existência destes ativos

DS8 Gerenciar Service Desk e Incidentes

Assegurar que os problemas que afetam os usuários serão resolvidos adequadamente. Isto é habilitado pela existência de equipe e processo de Service Desk que suporta os usuários e fornece recomendações de soluções

DS10 Gerenciar Problemas Garantir que os problemas e incidentes sejam resolvidos e que as causas investigadas sirvam para prevenir novas ocorrências. O sistema de gerenciamento de problemas deve classificar, registrar e avaliar todos os incidentes ocorridos

DS11 Gerenciar Dados Assegurar que os dados permaneçam completos, internos e validos após sua entrada, armazenamento e processamento. Isto é permitido pela combinação eficácia entre os controles das aplicações e os controles gerais do ambiente de TI

DS12 Gerenciar ambiente físico A área responsável pelo gerenciamento das instalações deve prover segurança para proteção dos equipamentos e profissionais de TI contra fatores humanos e ambientais

DS13 Gerenciar operações Assegurar que as funções de suporte de TI são realizadas regularmente e de forma ordenada, com base na programação das atividades que devem ser registradas e atualizadas


186

ComponentesCoso

Cobit

Seções SOX



187

COSO (Internal Control Components)

Cobit (Dominios e Processos)

PO (Planejamento e Organização)

PO 4.2 Inserção Organizacional da função de TI

PO 6.1 Ambiente de Controle de informações positiva

PO 6.2 Responsabilidade do gerenciamento das politicas

PO (Planejar e Organização)

PO 9.0 Avaliar Risco

AI - Aquisição e Implementação

AI - 1.4 Requisitos de serviços de terceiros

AI - 6.0-6.8 Gerenciar mudanças

DS (Entrega e Suporte)

DS 5.0-5.21 Garantir Segurança dos Sistemas

DS 11.0-11.30 Gerenciar Dados


PO 6.0-6.11 Divulgue os objetivos e a orientação do gerencimento

ME - Monitoramento e Avaliação

ME 2.0-2.4 Avaliar Controle Interno

Controle do Ambiente

Avaliação de Risco

Controle de Atividade

Informação e Comunicação

Monitoramento

COSO (Internal Control Components)

Cobit (Dominios e Processos)


PO 4.2 Inserção Organizacional da função de TI

PO 6.1 Ambiente de Controle de informações positiva

PO 6.2 Responsabilidade do gerenciamento das politicas

PO (Planejar e Organização)

PO 9.0 Avaliar Risco

AI - Aquisição e Implementação

AI - 1.4 Requisitos de serviços de terceiros

AI - 6.0-6.8 Gerenciar mudanças

DS (Entrega e Suporte)

DS 5.0-5.21 Garantir Segurança dos Sistemas

DS 11.0-11.30 Gerenciar Dados


PO 6.0-6.11 Divulgue os objetivos e a orientação do gerencimento

ME - Monitoramento e Avaliação

ME 2.0-2.4 Avaliar Controle Interno

Controle do Ambiente

Avaliação de Risco

Controle de Atividade

Informação e Comunicação

Monitoramento

188

Metodologia de Implantação: Avaliação e Implantação

Avaliação(Assessment)

Avaliação de Risco (Risk Assessment)

Diagnostico do Nível de

Maturidade dos Processos

Gap Analyses

Comunicação eConscientização

Plano de Ação

Governançade TI (Compliance)

Mapeamento deProcessos


189

Relatório de Gap Analyses:

Exemplo:


Processo Cobit

Nível de Maturidade

(Exigido SOX 3)


(Real) GAP

Aquisição e manutenção de sistemas aplicativos (software) AI2 3 4 0

Aquisição e manutenção de tecnologia de infraestrutura AI3 3 3 0

Definição da organização de TI e relacionamentos P04 3 3 0

Instalação e homologação de soluções e mudanças AI7 3 2 -1

Gerenciar Mudanças AI6 3 3 0

Definir e Gerenciar Níveis de Serviço DS1 3 3 0

Gerenciar serviços de terceiros DS2 3 3 0

Garantir a Segurança dos Sistemas DS5 3 3 0

Gerenciar a Configuração DS9 3 3 0

Gerenciar Service Desk e Incidentes DS8 3 4 0

Gerenciar Problemas DS10 3 4 0

Gerenciar Dados DS11 3 3 0

Gerenciar ambiente físico DS12 3 3 0

Gerenciar operações DS13 3 3 0

0

1

2

3

4AI2

AI3

P04

AI7

AI6

DS1

DS2

DS5

DS9

DS8

DS10

DS11

DS12

DS13

Falta de metodologia formal para execução de testes e homologação de sistemas.


190

Processo TIProcesso

CobitImpacto no

Negócio Probabilidade Severidade

Instalação e homologação de soluções e mudanças AI7

Impacto Financeiro Alta 3

AI7

Impacto x Probabilidade (Severidade do Risco)

Controlar

Compartilhar / Transferir Evitar, Mitigar & Controlar

Aceitar

Baixo

Alto

IMPACTO

Probabilidade Alto

Exemplo:


191

Plano de Ação:-Desenvolver uma Metodologia (formal) para execução de testes e homologação de sistemas.

Quem deve desenvolver esta metodologia é unidade de negócio que será dona deste processo (ou seja TI).- Os elaboradores serão os Analista de Processos- Quem deverá aprovar este documento será o Gerente de TI. (Fase de Implementação)

- Todos os interessados devem ser cientificados sobre a metodologia e os seus usuários devem receber treinamento adequada para usa-la de forma eficiente.

- Esta metodologia deve ser incorporada ao Processo de Desenvolvimento de Software


Processo Cobit


(Exigido SOX 3)


(Real) GAP

Instalação e homologação de soluções e mudanças AI7 3 2 -1

Falta de metodologia formal para execução de testes e homologação de sistemas.

Comentários

Relatório de Recomendação / Plano de Ação (Road Map)GAP Identificado

Exemplo:


Lei Sarbanes-Oxley - www.deloitte.com/us/corpgovA lei: http://www.sec.gov/about/laws/soa2002.pdfKPMG - Seção 404 da Lei Sarbanes-Oxley: Certificação dos Controles Internos pela Administração Respostas às perguntas mais frequentes



[email protected]

11 3532-1076

twitter.com/companyweb

slideshare.net/companyweb

facebook.com/companyweb

Vídeos: Gestão & Governança

http://bit.ly/eMR2Vt

193

governança | sarbanes oxley (sox)

Business